《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 黑客濫用Win10/Win11搜索協(xié)議,用于分發(fā)惡意軟件

黑客濫用Win10/Win11搜索協(xié)議,,用于分發(fā)惡意軟件

2024-06-14
來源:IT之家

6月13日消息,,網(wǎng)絡(luò)安全公司 Trustwave 于 6 月 11 日發(fā)布博文,表示有攻擊者濫用 Windows Search 協(xié)議(search-ms URI),,通過推送托管在遠(yuǎn)程服務(wù)器上的批處理文件,,實(shí)現(xiàn)傳播惡意軟件的目的,。

0.png

Windows Search 協(xié)議是一個(gè)統(tǒng)一資源標(biāo)識(shí)符(URI),應(yīng)用程序通過調(diào)用可以打開 Windows 資源管理器,,使用特定參數(shù)執(zhí)行搜索,。

雖然大多數(shù) Windows 搜索會(huì)查看本地設(shè)備的索引,但也可以強(qiáng)制 Windows Search 查詢遠(yuǎn)程主機(jī)上的文件共享,,并為搜索窗口使用自定義標(biāo)題,。

援引 Trustwave 報(bào)告,已經(jīng)有證據(jù)表明,,黑客通過濫用 Windows Search 協(xié)議,,實(shí)現(xiàn)分發(fā)惡意軟件的目的。

Trustwave 注意到一封惡意電子郵件,,其中包含一個(gè)偽裝成發(fā)票文檔的 HTML 附件,,該附件被放置在一個(gè)小的 ZIP 壓縮包中。ZIP 有助于躲避安全 / AV 掃描儀,,因?yàn)檫@些掃描儀可能無法解析存檔中的惡意內(nèi)容,。

0.png

HTML 文件使用 <meta http-equiv="refresh"> 標(biāo)記,讓瀏覽器在打開 HTML 文檔時(shí)自動(dòng)打開惡意 URL,。

0.png

如果由于瀏覽器設(shè)置阻止重定向或其他原因?qū)е略⑿率?,作為一種后備機(jī)制,錨標(biāo)簽(anchor tag)會(huì)提供一個(gè)指向惡意 URL 的可點(diǎn)擊鏈接,,不過這需要用戶參與操作,。

0.png

攻擊者通過以下參數(shù),在遠(yuǎn)程主機(jī)上執(zhí)行搜索:

Query: 搜索標(biāo)有“INVOICE”的項(xiàng)目,。

Crumb:指定搜索范圍,,通過 Cloudflare 指向惡意服務(wù)器。

Displayname: 將搜索顯示重新命名為 "下載",,以模仿合法界面,。

Location: 使用 Cloudflare 的隧道服務(wù)掩蓋服務(wù)器,將遠(yuǎn)程資源顯示為本地文件,,讓其看起來合法,。

接下來,搜索會(huì)從遠(yuǎn)程服務(wù)器檢索文件列表,,顯示一個(gè)以發(fā)票命名的快捷方式(LNK)文件,。如果受害者點(diǎn)擊該文件,就會(huì)觸發(fā)同一服務(wù)器上的批腳本(BAT),。

0.png

為防范這種威脅,,Trustwave 建議執(zhí)行以下命令,刪除與 search-ms / search URI 協(xié)議相關(guān)的注冊(cè)表項(xiàng):

reg delete HKEY_CLASSES_ROOT\search /f

reg delete HKEY_CLASSES_ROOT\search-ms /f


Magazine.Subscription.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。