Search & Spoof: Visszaélés a Windows kereséssel

Egy új adathalász kampány a Windows keresési protokollal visszaélő HTML mellékleteket használ távoli kiszolgálókon tárolt, rosszindulatú programokat tartalmazó fájlok letöltéséhez.

A Windows Search protokoll egy olyan URI, amely lehetővé teszi az alkalmazások számára, hogy a Windows Intéző használatával, meghatározott paraméterekkel kereséseket végezzenek.

E-mail melléklet. Forrás: Trustwave

 

Míg a legtöbb Windows Search a helyi eszköz indexében keres, lehetőség van arra is, hogy egy távoli kiszolgálón lévő fájlmegosztó lekérdezésére kényszerítsük, és egyéni címet használjunk a keresőablakhoz. A támadók ezt a funkciót kihasználva rosszindulatú fájlokat tölthetnek le távoli szerverekről.

A Trustwave a jelentésében leír egy támadást, amely egy rosszindulatú e-maillel kezdődik. Ez egy ZIP archívumban elhelyezett, számlának álcázott dokumentum, amely egy HTML mellékletet tartalmaz. A ZIP segít kikerülni a biztonsági ellenőrzéseket, amelyek nem elemzik az archívumokat rosszindulatú tartalomra.

A HTML fájl a <meta http-equiv= "refresh"> taget használja a megnyitásakor, így a böngésző automatikusan megnyit egy rosszindulatú URL-t a HTML dokumentumban.

HTML fájl tartalma. Forrás: Trustwave

 

Ha a meta frissítés nem sikerül az átirányítást blokkoló böngészőbeállítások vagy más okok miatt, tartalékmechanizmusként egy kattintható linket ad ki a rosszindulatú URL-hez. Ez azonban felhasználói beavatkozást igényel.

A keresési parancs végrehajtásakor indított böngészési prompt. Forrás: Trustwave

 

Ebben az esetben az URL a Windows Search protokoll számára a következő paraméterekkel keresést végez egy távoli kiszolgálón:

  • Query: “INVOICE” (számla) feliratú elemek keresése.
  • Crumb: Megadja a keresési hatókörét, amely a Cloudflare-en keresztül egy rosszindulatú kiszolgálóra mutat.
  • Displayname: A legitim felület imitálásához átnevezi a keresési ablakot “Letöltések”-re.
  • Location: A Cloudflare tunneling szolgáltatását használja a kiszolgáló elrejtésére, legitimnek tüntetve fel azt azáltal, hogy a távoli erőforrásokat helyi fájlokként mutatja.

Ezután a keresés lekérdezi a fájlok listáját a távoli kiszolgálóról, és egyetlen, “INVOICE”-ként (számla) megnevezett LNK parancsikon fájlt jelenít meg. Ha az áldozat rákattint a fájlra, egy ugyanazon a szerveren tárolt BAT szkript indul el.

A Trustwave nem tudta megállapítani, hogy a BAT mit csinálna, mivel a szerver az elemzés idején nem volt elérhető.

Keresőablak Forrás: Trustwave

 

A fenyegetés elleni védekezéshez a Trustwave a search-ms/search URI protokollhoz kapcsolódó registry bejegyzések törlését javasolja, ezt azonban óvatosan kell elvégezni, mivel ez megakadályozza, hogy az erre a protokollra támaszkodó legitim alkalmazások és a Windows integrált funkciói rendeltetésszerűen működjenek.

Ez a következő parancsokkal végrehajtható:

reg delete HKEY_CLASSES_ROOT\search /f

reg delete HKEY_CLASSES_ROOT\search-ms /f

 

IoC-k:

INVOICE#TBAVSA0JBSNA.html

md5 f77a4a27f749703165e2021fecd73db9

sha1 cbc3a8e762e0f2eda9e8a9bde348d04d1d7ce17e

sha256 d136dcfc355885c502ff2c3be229791538541b748b6c07df3ced95f9a7eb2f30

Remote URL:

tender-coding-bi-associate[.]trycloudflare[.]com@SSL\DavWWWRoot\google\INVOICE

(trustwave.com)