信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

一項(xiàng)新的網(wǎng)絡(luò)釣魚活動正濫用Windows搜索協(xié)議(search-ms URI)的HTML附件來推送托管在遠(yuǎn)程服務(wù)器上的批處理文件，從而傳播惡意軟件。

Windows Search協(xié)議是一種統(tǒng)一資源標(biāo)識符(URI)，它使應(yīng)用程序能夠打開Windows資源管理器以使用特定參數(shù)執(zhí)行搜索。

雖然大多數(shù)Windows搜索都會查看本地設(shè)備的索引，但也可以強(qiáng)制Windows搜索查詢遠(yuǎn)程主機(jī)上的文件共享并使用自定義標(biāo)題作為搜索窗口。

攻擊者可以利用此功能在遠(yuǎn)程服務(wù)器上共享惡意文件。2022年6月，安全研究人員設(shè)計(jì)了一個強(qiáng)大的攻擊鏈，該攻擊鏈還利用了Microsoft Office漏洞直接從Word文檔啟動搜索。

Trustwave SpiderLabs的研究人員在報告中說，這種技術(shù)已被威脅分子廣泛使用，他們使用HTML附件在攻擊者的服務(wù)器上啟動Windows搜索。

濫用Windows Search

Trustwave報告中描述的近期攻擊始于一封惡意電子郵件，該郵件帶有一個偽裝成發(fā)票文檔的HTML附件，該附件位于一個小型ZIP存檔中。ZIP有助于逃避可能無法解析存檔中的惡意內(nèi)容的安全/AV掃描程序。

電子郵件附件

該HTML文件使用標(biāo)簽，導(dǎo)致瀏覽器在打開HTML文檔時自動打開惡意URL。

HTML文件內(nèi)容

如果由于瀏覽器設(shè)置阻止重定向或其他原因?qū)е略⑿率?，則錨標(biāo)記會提供指向惡意URL的可點(diǎn)擊鏈接，作為后備機(jī)制。但這需要用戶采取相應(yīng)行動。

搜索提示和“故障安全”鏈接

示例中，URL是用于Windows Search協(xié)議使用以下參數(shù)在遠(yuǎn)程主機(jī)上執(zhí)行搜索的：

·詢問：搜索標(biāo)簽為“INVOICE”的項(xiàng)目。

·標(biāo)記：指定搜索范圍，通過Cloudflare指向惡意服務(wù)器。

·顯示名稱：將搜索顯示重命名為“下載”，以模仿合法界面

·位置：使用Cloudflare的隧道服務(wù)來掩蓋服務(wù)器，通過將遠(yuǎn)程資源呈現(xiàn)為本地文件使其看起來合法。

接下來，搜索會從遠(yuǎn)程服務(wù)器檢索文件列表，顯示一個名為發(fā)票的快捷方式(LNK)文件。如果受害者點(diǎn)擊該文件，則會觸發(fā)托管在同一服務(wù)器上的批處理腳本(BAT)。

搜索結(jié)果

Trustwave還無法確定BAT的作用，因?yàn)樵诜治鰰r服務(wù)器已關(guān)閉，但進(jìn)行危險操作的可能性很高。

為了防御此威脅，安全研究人員建議通過執(zhí)行以下命令刪除與search-ms/search URI協(xié)議相關(guān)的注冊表項(xiàng)：

reg delete HKEY_CLASSES_ROOTsearch/f

reg delete HKEY_CLASSES_ROOTsearch-ms/f

此操作應(yīng)小心進(jìn)行，因?yàn)樗矔柚挂蕾嚧藚f(xié)議的合法應(yīng)用程序和集成Windows功能按預(yù)期工作。