Naujoje sukčiavimo kampanijoje naudojami HTML priedai, kurie piktnaudžiauja „Windows“ paieškos protokolu (search-ms URI), kad stumtų paketinius failus, esančius nuotoliniuose serveriuose, kurie teikia kenkėjiškas programas.
„Windows“ paieškos protokolas yra vienodas išteklių identifikatorius (URI), leidžiantis programoms atidaryti „Windows Explorer“ ir atlikti paieškas naudojant konkrečius parametrus.
Nors daugumoje „Windows“ paieškų bus žiūrima į vietinio įrenginio indeksą, taip pat galima priversti „Windows“ paiešką pateikti užklausą dėl failų bendrinimo nuotoliniuose pagrindiniuose kompiuteriuose ir naudoti pasirinktinį paieškos lango pavadinimą.
Užpuolikai gali pasinaudoti šia funkcija, kad bendrintų kenkėjiškus failus nuotoliniuose serveriuose, kaip pirmą kartą pabrėžė prof. dr. Martinas Johnsas 2020 m. disertacijoje.
2022 m. birželio mėn. saugumo tyrinėtojai sukūrė stiprią atakų grandinę, kuri taip pat pasinaudojo „Microsoft Office“ trūkumu, kad būtų galima pradėti paieškas tiesiai iš „Word“ dokumentų.
„Trustwave SpiderLabs“ tyrėjai dabar praneša, kad šią techniką laukinėje gamtoje naudoja grėsmės veikėjai, naudojantys HTML priedus, kad paleistų „Windows“ paieškas užpuolikų serveriuose.
Piktnaudžiavimas „Windows“ paieška
Naujausios atakos, aprašytos Trustwave ataskaitoje, prasideda nuo kenkėjiško el. laiško su HTML priedu, paslėptu kaip sąskaitos faktūros dokumentas, patalpintas mažame ZIP archyve. ZIP padeda išvengti saugos / AV skaitytuvų, kurie negali išanalizuoti archyvų kenkėjiško turinio.
HTML faile naudojama žyma, kad naršyklė automatiškai atidarytų kenkėjišką URL, kai atidaromas HTML dokumentas.
Jei meta atnaujinti nepavyksta dėl naršyklės nustatymų, blokuojančių peradresavimus, arba dėl kitų priežasčių, prieraišo žyma pateikia spustelėjamą nuorodą į kenkėjišką URL, kuri veikia kaip atsarginis mechanizmas. Tačiau tam reikia vartotojo veiksmų.
Šiuo atveju URL yra skirtas „Windows Search“ protokolui atlikti paiešką nuotoliniame pagrindiniame kompiuteryje naudojant šiuos parametrus:
- Užklausa: ieško prekių, pažymėtų „INVOICE“.
- Trupinėlis: nurodo paieškos apimtį, nukreipiantį į kenkėjišką serverį per „Cloudflare“.
- Rodomas pavadinimas: pervadina paieškos ekraną į „Atsisiuntimai“, kad imituotų teisėtą sąsają.
- Vieta: naudoja „Cloudflare“ tuneliavimo paslaugą, kad užmaskuotų serverį, kad jis atrodytų teisėtas, pateikdamas nuotolinius išteklius kaip vietinius failus.
Tada paieška nuskaito failų sąrašą iš nuotolinio serverio, parodydama vieną nuorodos (LNK) failą, pavadintą kaip sąskaita faktūra. Jei auka spustelėja failą, suaktyvinamas paketinis scenarijus (BAT), esantis tame pačiame serveryje.
Trustwave negalėjo nustatyti, ką veikia GPGB, nes analizės metu serveris neveikė, tačiau rizikingų operacijų galimybė yra didelė.
Norėdami apsisaugoti nuo šios grėsmės, „Trustwave“ rekomenduoja ištrinti registro įrašus, susijusius su paieškos-ms/search URI protokolu, vykdydama šias komandas:
reg delete HKEY_CLASSES_ROOT\search /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
Tačiau tai turėtų būti daroma atsargiai, nes tai taip pat neleis teisėtoms programoms ir integruotoms Windows funkcijoms, kurios priklauso nuo šio protokolo, veikti taip, kaip numatyta.