导语:这种技术已被威胁分子广泛使用,他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。
一项新的网络钓鱼活动正滥用 Windows 搜索协议 (search-ms URI) 的 HTML 附件来推送托管在远程服务器上的批处理文件,从而传播恶意软件。
Windows Search 协议是一种统一资源标识符 (URI),它使应用程序能够打开 Windows 资源管理器以使用特定参数执行搜索。
虽然大多数 Windows 搜索都会查看本地设备的索引,但也可以强制 Windows 搜索查询远程主机上的文件共享并使用自定义标题作为搜索窗口。
攻击者可以利用此功能在远程服务器上共享恶意文件。2022 年 6 月,安全研究人员设计了一个强大的攻击链,该攻击链还利用了 Microsoft Office 漏洞直接从 Word 文档启动搜索。
Trustwave SpiderLabs 的研究人员在报告中说,这种技术已被威胁分子广泛使用,他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。
滥用 Windows Search
Trustwave 报告中描述的近期攻击始于一封恶意电子邮件,该邮件带有一个伪装成发票文档的 HTML 附件,该附件位于一个小型 ZIP 存档中。ZIP 有助于逃避可能无法解析存档中的恶意内容的安全/AV 扫描程序。
电子邮件附件
该HTML文件使用标签,导致浏览器在打开HTML文档时自动打开恶意URL。
HTML 文件内容
如果由于浏览器设置阻止重定向或其他原因导致元刷新失败,则锚标记会提供指向恶意 URL 的可点击链接,作为后备机制。但这需要用户采取相应行动。
搜索提示和“故障安全”链接
示例中,URL 是用于 Windows Search 协议使用以下参数在远程主机上执行搜索的:
·询问:搜索标签为“INVOICE”的项目。
·标记:指定搜索范围,通过 Cloudflare 指向恶意服务器。
·显示名称:将搜索显示重命名为“下载”,以模仿合法界面
·位置:使用 Cloudflare 的隧道服务来掩盖服务器,通过将远程资源呈现为本地文件使其看起来合法。
接下来,搜索会从远程服务器检索文件列表,显示一个名为发票的快捷方式 (LNK) 文件。如果受害者点击该文件,则会触发托管在同一服务器上的批处理脚本 (BAT)。
搜索结果
Trustwave 还无法确定 BAT 的作用,因为在分析时服务器已关闭,但进行危险操作的可能性很高。
为了防御此威胁,安全研究人员建议通过执行以下命令删除与 search-ms/search URI 协议相关的注册表项:
reg delete HKEY_CLASSES_ROOT\search /f reg delete HKEY_CLASSES_ROOT\search-ms /f
此操作应小心进行,因为它也会阻止依赖此协议的合法应用程序和集成 Windows 功能按预期工作。
文章翻译自:https://www.bleepingcomputer.com/news/security/phishing-emails-abuse-windows-search-protocol-to-push-malicious-scripts/如若转载,请注明原文地址