网络钓鱼电子邮件滥用 Windows 搜索协议来推送恶意脚本
2024-6-18 12:0:0 Author: www.4hou.com(查看原文) 阅读量:25 收藏

胡金鱼 新闻 刚刚发布

3385

收藏

导语:这种技术已被威胁分子广泛使用,他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。

一项新的网络钓鱼活动正滥用 Windows 搜索协议 (search-ms URI) 的 HTML 附件来推送托管在远程服务器上的批处理文件,从而传播恶意软件。

Windows Search 协议是一种统一资源标识符 (URI),它使应用程序能够打开 Windows 资源管理器以使用特定参数执行搜索。

虽然大多数 Windows 搜索都会查看本地设备的索引,但也可以强制 Windows 搜索查询远程主机上的文件共享并使用自定义标题作为搜索窗口。

攻击者可以利用此功能在远程服务器上共享恶意文件。2022 年 6 月,安全研究人员设计了一个强大的攻击链,该攻击链还利用了 Microsoft Office 漏洞直接从 Word 文档启动搜索。

Trustwave SpiderLabs 的研究人员在报告中说,这种技术已被威胁分子广泛使用,他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。

滥用 Windows Search

Trustwave 报告中描述的近期攻击始于一封恶意电子邮件,该邮件带有一个伪装成发票文档的 HTML 附件,该附件位于一个小型 ZIP 存档中。ZIP 有助于逃避可能无法解析存档中的恶意内容的安全/AV 扫描程序。

attachment.webp.png

电子邮件附件

该HTML文件使用标签,导致浏览器在打开HTML文档时自动打开恶意URL。

html-content.webp.png

HTML 文件内容

如果由于浏览器设置阻止重定向或其他原因导致元刷新失败,则锚标记会提供指向恶意 URL 的可点击链接,作为后备机制。但这需要用户采取相应行动。

url-link.jpg

搜索提示和“故障安全”链接

示例中,URL 是用于 Windows Search 协议使用以下参数在远程主机上执行搜索的:

·询问:搜索标签为“INVOICE”的项目。

·标记:指定搜索范围,通过 Cloudflare 指向恶意服务器。

·显示名称:将搜索显示重命名为“下载”,以模仿合法界面

·位置:使用 Cloudflare 的隧道服务来掩盖服务器,通过将远程资源呈现为本地文件使其看起来合法。

接下来,搜索会从远程服务器检索文件列表,显示一个名为发票的快捷方式 (LNK) 文件。如果受害者点击该文件,则会触发托管在同一服务器上的批处理脚本 (BAT)。

server-files.webp.png

搜索结果

Trustwave 还无法确定 BAT 的作用,因为在分析时服务器已关闭,但进行危险操作的可能性很高。

为了防御此威胁,安全研究人员建议通过执行以下命令删除与 search-ms/search URI 协议相关的注册表项:

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

此操作应小心进行,因为它也会阻止依赖此协议的合法应用程序和集成 Windows 功能按预期工作。

文章翻译自:https://www.bleepingcomputer.com/news/security/phishing-emails-abuse-windows-search-protocol-to-push-malicious-scripts/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/0ovy
如有侵权请联系:admin#unsafe.sh