fitA
新的网络钓鱼活动使用滥用 Windows 搜索协议 (search-ms URI) 的 HTML 附件来推送托管在远程服务器上的批处理文件,从而传播恶意软件。
Windows 搜索协议是一个统一资源标识符 (URI),使应用程序能够打开 Windows 资源管理器以使用特定参数执行搜索。
虽然大多数 Windows 搜索将查看本地设备的索引,但也可以强制 Windows 搜索查询远程主机上的文件共享并使用搜索窗口的自定义标题。
正如 Martin Johns 教授在 2020 年论文中首次强调的那样,攻击者可以利用此功能在远程服务器上共享恶意文件。
2022 年 6 月,安全研究人员设计了一个强大的攻击链,该攻击链还利用 Microsoft Office 缺陷直接从 Word 文档启动搜索。
Trustwave SpiderLabs 研究人员现在报告称,威胁行为者在野外使用了这种技术,他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。
滥用 Windows 搜索
Trustwave 报告中描述的最近攻击始于一封恶意电子邮件,其中包含伪装成小型 ZIP 存档中发票文档的 HTML 附件。 ZIP 有助于规避安全/反病毒扫描程序,这些扫描程序可能无法解析存档中的恶意内容。
资料来源:Trustwave
HTML文件使用<meta http-equiv=“refresh”>标签使浏览器在打开HTML文档时自动打开恶意URL。
资料来源:Trustwave
如果元刷新由于浏览器设置阻止重定向或其他原因而失败,锚标记会提供指向恶意 URL 的可点击链接,充当后备机制。然而,这需要用户采取行动。
资料来源:Trustwave
在本例中,该 URL 用于 Windows 搜索协议使用以下参数在远程主机上执行搜索:
- 查询:搜索标记为“INVOICE”的项目。
- Crumb:指定搜索范围,通过 Cloudflare 指向恶意服务器。
- 显示名称:将搜索显示重命名为“下载”以模仿合法界面。
- 位置:使用 Cloudflare 的隧道服务来屏蔽服务器,通过将远程资源呈现为本地文件来使其看起来合法。
接下来,搜索从远程服务器检索文件列表,显示名为发票的单个快捷方式 (LNK) 文件。如果受害者单击该文件,则会触发托管在同一服务器上的批处理脚本 (BAT)。
资料来源:Trustwave
Trustwave 无法确定 BAT 的用途,因为在他们进行分析时服务器已关闭,但危险操作的可能性很高。
为了防御此威胁,Trustwave 建议通过执行以下命令删除与 search-ms/search URI 协议关联的注册表项:
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f但是,应该谨慎执行此操作,因为它还会阻止依赖此协议的合法应用程序和集成 Windows 功能按预期工作。
