黑客濫用 Win10 / Win11 搜索協(xié)議，用于分發(fā)惡意軟件

IT之家 6 月 13 日消息，網(wǎng)絡(luò)安全公司 Trustwave 于 6 月 11 日發(fā)布博文，表示有攻擊者濫用 Windows Search 協(xié)議（search-ms URI），通過推送托管在遠(yuǎn)程服務(wù)器上的批處理文件，實(shí)現(xiàn)傳播惡意軟件的目的。

Windows Search 協(xié)議是一個(gè)統(tǒng)一資源標(biāo)識符（URI），應(yīng)用程序通過調(diào)用可以打開 Windows 資源管理器，使用特定參數(shù)執(zhí)行搜索。

雖然大多數(shù) Windows 搜索會(huì)查看本地設(shè)備的索引，但也可以強(qiáng)制 Windows Search 查詢遠(yuǎn)程主機(jī)上的文件共享，并為搜索窗口使用自定義標(biāo)題。

IT之家援引 Trustwave 報(bào)告，已經(jīng)有證據(jù)表明，黑客通過濫用 Windows Search 協(xié)議，實(shí)現(xiàn)分發(fā)惡意軟件的目的。

Trustwave 注意到一封惡意電子郵件，其中包含一個(gè)偽裝成發(fā)票文檔的 HTML 附件，該附件被放置在一個(gè)小的 ZIP 壓縮包中。ZIP 有助于躲避安全 / AV 掃描儀，因?yàn)檫@些掃描儀可能無法解析存檔中的惡意內(nèi)容。

HTML 文件使用 <meta http-equiv="refresh"> 標(biāo)記，讓瀏覽器在打開 HTML 文檔時(shí)自動(dòng)打開惡意 URL。

如果由于瀏覽器設(shè)置阻止重定向或其他原因?qū)е略⑿率?，作為一種后備機(jī)制，錨標(biāo)簽（anchor tag）會(huì)提供一個(gè)指向惡意 URL 的可點(diǎn)擊鏈接，不過這需要用戶參與操作。

攻擊者通過以下參數(shù)，在遠(yuǎn)程主機(jī)上執(zhí)行搜索：

• Query: 搜索標(biāo)有“INVOICE”的項(xiàng)目。

• Crumb：指定搜索范圍，通過 Cloudflare 指向惡意服務(wù)器。

• Displayname: 將搜索顯示重新命名為 "下載"，以模仿合法界面。

• Location: 使用 Cloudflare 的隧道服務(wù)掩蓋服務(wù)器，將遠(yuǎn)程資源顯示為本地文件，讓其看起來合法。

接下來，搜索會(huì)從遠(yuǎn)程服務(wù)器檢索文件列表，顯示一個(gè)以發(fā)票命名的快捷方式（LNK）文件。如果受害者點(diǎn)擊該文件，就會(huì)觸發(fā)同一服務(wù)器上的批腳本（BAT）。

為防范這種威脅，Trustwave 建議執(zhí)行以下命令，刪除與 search-ms / search URI 協(xié)議相關(guān)的注冊表項(xiàng)：

reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。