網(wǎng)絡(luò)釣魚(yú)電子郵件濫用 Windows 搜索協(xié)議來(lái)推送惡意腳本

一項(xiàng)新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)正濫用Windows搜索協(xié)議(search-ms URI)的HTML附件來(lái)推送托管在遠(yuǎn)程服務(wù)器上的批處理文件,從而傳播惡意軟件。

本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”,作者/胡金魚(yú)。

一項(xiàng)新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)正濫用Windows搜索協(xié)議(search-ms URI)的HTML附件來(lái)推送托管在遠(yuǎn)程服務(wù)器上的批處理文件,從而傳播惡意軟件。

Windows Search協(xié)議是一種統(tǒng)一資源標(biāo)識(shí)符(URI),它使應(yīng)用程序能夠打開(kāi)Windows資源管理器以使用特定參數(shù)執(zhí)行搜索。

雖然大多數(shù)Windows搜索都會(huì)查看本地設(shè)備的索引,但也可以強(qiáng)制Windows搜索查詢遠(yuǎn)程主機(jī)上的文件共享并使用自定義標(biāo)題作為搜索窗口。

攻擊者可以利用此功能在遠(yuǎn)程服務(wù)器上共享惡意文件。2022年6月,安全研究人員設(shè)計(jì)了一個(gè)強(qiáng)大的攻擊鏈,該攻擊鏈還利用了Microsoft Office漏洞直接從Word文檔啟動(dòng)搜索。

Trustwave SpiderLabs的研究人員在報(bào)告中說(shuō),這種技術(shù)已被威脅分子廣泛使用,他們使用HTML附件在攻擊者的服務(wù)器上啟動(dòng)Windows搜索。

濫用Windows Search

Trustwave報(bào)告中描述的近期攻擊始于一封惡意電子郵件,該郵件帶有一個(gè)偽裝成發(fā)票文檔的HTML附件,該附件位于一個(gè)小型ZIP存檔中。ZIP有助于逃避可能無(wú)法解析存檔中的惡意內(nèi)容的安全/AV掃描程序。

640 (1).png

電子郵件附件

該HTML文件使用標(biāo)簽,導(dǎo)致瀏覽器在打開(kāi)HTML文檔時(shí)自動(dòng)打開(kāi)惡意URL。

640 (1).png

HTML文件內(nèi)容

如果由于瀏覽器設(shè)置阻止重定向或其他原因?qū)е略⑿率?,則錨標(biāo)記會(huì)提供指向惡意URL的可點(diǎn)擊鏈接,作為后備機(jī)制。但這需要用戶采取相應(yīng)行動(dòng)。

640 (1).png

搜索提示和“故障安全”鏈接

示例中,URL是用于Windows Search協(xié)議使用以下參數(shù)在遠(yuǎn)程主機(jī)上執(zhí)行搜索的:

·詢問(wèn):搜索標(biāo)簽為“INVOICE”的項(xiàng)目。

·標(biāo)記:指定搜索范圍,通過(guò)Cloudflare指向惡意服務(wù)器。

·顯示名稱:將搜索顯示重命名為“下載”,以模仿合法界面

·位置:使用Cloudflare的隧道服務(wù)來(lái)掩蓋服務(wù)器,通過(guò)將遠(yuǎn)程資源呈現(xiàn)為本地文件使其看起來(lái)合法。

接下來(lái),搜索會(huì)從遠(yuǎn)程服務(wù)器檢索文件列表,顯示一個(gè)名為發(fā)票的快捷方式(LNK)文件。如果受害者點(diǎn)擊該文件,則會(huì)觸發(fā)托管在同一服務(wù)器上的批處理腳本(BAT)。

640 (1).png

搜索結(jié)果

Trustwave還無(wú)法確定BAT的作用,因?yàn)樵诜治鰰r(shí)服務(wù)器已關(guān)閉,但進(jìn)行危險(xiǎn)操作的可能性很高。

為了防御此威脅,安全研究人員建議通過(guò)執(zhí)行以下命令刪除與search-ms/search URI協(xié)議相關(guān)的注冊(cè)表項(xiàng):

reg delete HKEY_CLASSES_ROOTsearch/f

reg delete HKEY_CLASSES_ROOTsearch-ms/f

此操作應(yīng)小心進(jìn)行,因?yàn)樗矔?huì)阻止依賴此協(xié)議的合法應(yīng)用程序和集成Windows功能按預(yù)期工作。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論