6 月 13 日消息�,網絡安全公司 Trustwave 于 6 月 11 日發布博文,表示有攻擊者濫用 Windows Search 協議(search-ms URI)��,通過推送托管在遠程服務器上的批處理文件�����,實現傳播惡意軟件的目的���。Ngn28資訊網——每日最新資訊28at.com
Ngn28資訊網——每日最新資訊28at.com
Windows Search 協議是一個統一資源標識符(URI)�,應用程序通過調用可以打開 Windows 資源管理器�����,使用特定參數執行搜索�。Ngn28資訊網——每日最新資訊28at.com
雖然大多數 Windows 搜索會查看本地設備的索引��,但也可以強制 Windows Search 查詢遠程主機上的文件共享����,并為搜索窗口使用自定義標題���。Ngn28資訊網——每日最新資訊28at.com
援引 Trustwave 報告�����,已經有證據表明����,黑客通過濫用 Windows Search 協議�,實現分發惡意軟件的目的。Ngn28資訊網——每日最新資訊28at.com
Trustwave 注意到一封惡意電子郵件����,其中包含一個偽裝成發票文檔的 HTML 附件����,該附件被放置在一個小的 ZIP 壓縮包中�����。ZIP 有助于躲避安全 / AV 掃描儀�����,因為這些掃描儀可能無法解析存檔中的惡意內容。Ngn28資訊網——每日最新資訊28at.com
Ngn28資訊網——每日最新資訊28at.com
HTML 文件使用 <meta http-equiv="refresh"> 標記���,讓瀏覽器在打開 HTML 文檔時自動打開惡意 URL。Ngn28資訊網——每日最新資訊28at.com
Ngn28資訊網——每日最新資訊28at.com
如果由于瀏覽器設置阻止重定向或其他原因導致元刷新失敗�,作為一種后備機制��,錨標簽(anchor tag)會提供一個指向惡意 URL 的可點擊鏈接,不過這需要用戶參與操作���。Ngn28資訊網——每日最新資訊28at.com
Ngn28資訊網——每日最新資訊28at.com
攻擊者通過以下參數����,在遠程主機上執行搜索:Ngn28資訊網——每日最新資訊28at.com
Query: 搜索標有“INVOICE”的項目。Ngn28資訊網——每日最新資訊28at.com
Crumb:指定搜索范圍,通過 Cloudflare 指向惡意服務器���。Ngn28資訊網——每日最新資訊28at.com
Displayname: 將搜索顯示重新命名為 "下載",以模仿合法界面。Ngn28資訊網——每日最新資訊28at.com
Location: 使用 Cloudflare 的隧道服務掩蓋服務器���,將遠程資源顯示為本地文件,讓其看起來合法����。Ngn28資訊網——每日最新資訊28at.com
接下來��,搜索會從遠程服務器檢索文件列表,顯示一個以發票命名的快捷方式(LNK)文件。如果受害者點擊該文件�,就會觸發同一服務器上的批腳本(BAT)�。Ngn28資訊網——每日最新資訊28at.com
Ngn28資訊網——每日最新資訊28at.com
為防范這種威脅����,Trustwave 建議執行以下命令,刪除與 search-ms / search URI 協議相關的注冊表項:Ngn28資訊網——每日最新資訊28at.com
regdeleteHKEY_CLASSES_ROOT/search/fregdeleteHKEY_CLASSES_ROOT/search-ms/f
本文鏈接:http://www.tebozhan.com/showinfo-119-93526-0.html黑客濫用 Win10 Win11 搜索協議,用于分發惡意軟件
聲明:本網頁內容旨在傳播知識���,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 微軟發布 .NET 9 第 5 個預覽版:改善性能、增強 AI 功能
下一篇: 可跨平臺對比性能����,Basemark 預告 Breaking Limit 光線追蹤基準測試
津公網安備 12010102000574號