我要评论网络安全公司 trustw a v e 于 6 月 11 日发布博文,表示有攻击者滥用 windows search 协议(search-ms uri),通过推送托管在远程服务器上的批处理文件,实现传播恶意软件的目的。
windows search 协议是一个统一资源标识符(uri),应用程序通过调用可以打开 windows 资源管理器,使用特定参数执行搜索。
虽然大多数 windows 搜索会查看本地设备的索引,但也可以强制 windows search 查询远程主机上的文件共享,并为搜索窗口使用自定义标题。
我们援引 trustwa ve 报告,已经有证据表明,黑客通过滥用 windows search 协议,实现分发恶意软件的目的。
trustwa ve 注意到一封恶意电子邮件,其中包含一个伪装成发票文档的 html 附件,该附件被放置在一个小的 zip 压缩包中。zip 有助于躲避安全 / a v 扫描仪,因为这些扫描仪可能无法解析存档中的恶意内容。
html 文件使用<meta http-equiv="refresh"> 标记,让浏览器在打开 html 文档时自动打开恶意 url。
如果由于浏览器设置阻止重定向或其他原因导致元刷新失败,作为一种后备机制,锚标签(anchor tag)会提供一个指向恶意 url 的可点击链接,不过这需要用户参与操作。
攻击者通过以下参数,在远程主机上执行搜索:
- query: 搜索标有“invoice”的项目。
- crumb:指定搜索范围,通过 cloudflare 指向恶意服务器。
- displayname: 将搜索显示重新命名为 "下载",以模仿合法界面。
- location: 使用 cloudflare 的隧道服务掩盖服务器,将远程资源显示为本地文件,让其看起来合法。
接下来,搜索会从远程服务器检索文件列表,显示一个以发票命名的快捷方式(lnk)文件。如果受害者点击该文件,就会触发同一服务器上的批脚本(bat)。
为防范这种威胁,trustwa ve 建议执行以下命令,删除与 search-ms / search uri 协议相关的注册表项:
reg delete hkey_classes_root\search /f reg delete hkey_classes_root\search-ms /f
发表评论