本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
一项新的网络钓鱼活动正滥用Windows搜索协议(search-ms URI)的HTML附件来推送托管在远程服务器上的批处理文件,从而传播恶意软件。
Windows Search协议是一种统一资源标识符(URI),它使应用程序能够打开Windows资源管理器以使用特定参数执行搜索。
虽然大多数Windows搜索都会查看本地设备的索引,但也可以强制Windows搜索查询远程主机上的文件共享并使用自定义标题作为搜索窗口。
攻击者可以利用此功能在远程服务器上共享恶意文件。2022年6月,安全研究人员设计了一个强大的攻击链,该攻击链还利用了Microsoft Office漏洞直接从Word文档启动搜索。
Trustwave SpiderLabs的研究人员在报告中说,这种技术已被威胁分子广泛使用,他们使用HTML附件在攻击者的服务器上启动Windows搜索。
滥用Windows Search
Trustwave报告中描述的近期攻击始于一封恶意电子邮件,该邮件带有一个伪装成发票文档的HTML附件,该附件位于一个小型ZIP存档中。ZIP有助于逃避可能无法解析存档中的恶意内容的安全/AV扫描程序。
电子邮件附件
该HTML文件使用标签,导致浏览器在打开HTML文档时自动打开恶意URL。
HTML文件内容
如果由于浏览器设置阻止重定向或其他原因导致元刷新失败,则锚标记会提供指向恶意URL的可点击链接,作为后备机制。但这需要用户采取相应行动。
搜索提示和“故障安全”链接
示例中,URL是用于Windows Search协议使用以下参数在远程主机上执行搜索的:
·询问:搜索标签为“INVOICE”的项目。
·标记:指定搜索范围,通过Cloudflare指向恶意服务器。
·显示名称:将搜索显示重命名为“下载”,以模仿合法界面
·位置:使用Cloudflare的隧道服务来掩盖服务器,通过将远程资源呈现为本地文件使其看起来合法。
接下来,搜索会从远程服务器检索文件列表,显示一个名为发票的快捷方式(LNK)文件。如果受害者点击该文件,则会触发托管在同一服务器上的批处理脚本(BAT)。
搜索结果
Trustwave还无法确定BAT的作用,因为在分析时服务器已关闭,但进行危险操作的可能性很高。
为了防御此威胁,安全研究人员建议通过执行以下命令删除与search-ms/search URI协议相关的注册表项:
reg delete HKEY_CLASSES_ROOTsearch/f
reg delete HKEY_CLASSES_ROOTsearch-ms/f
此操作应小心进行,因为它也会阻止依赖此协议的合法应用程序和集成Windows功能按预期工作。
