【恶意文件】Search-MS URI协议滥用的钓鱼攻击

Search-MS协议滥用

Search-MS：search-ms 应用协议是查询 Windows 搜索索引的约定。该协议使应用程序（如 Windows资源管理器）能够使用参数-值的形式查询索引，包括属性参数、以前保存的搜索、高级查询语法 （AQS）、自然查询语法 （NQS） 以及索引器和查询本身的语言代码标识符 （LCID）。相关参数如下：

WebDAV：Web Distributed Authoring and Versioning Web Distributed Authoring and Versioning(WebDAV) 是 Web 开发人员可以使用一组额外的 HTTP 协议来管理和维护 Web 服务器上数据的一种方法。这意味着 Web 开发人员可以使用 Windows 文件资源管理器等工具直接管理 Web 服务器上的文件和文件夹。WebDAV 已经存在很长时间并且有许多合法用途。但是用户通过 WebDAV 访问 Web 服务器上的数据的方式并不常见。

此次攻击中，犯罪分子在浏览器页面中嵌入按钮控件，当受害者点击按钮（理论上也可以自动打开）时会在浏览器中执行JavaScript代码实现跳转功能，而跳转的目的地址则是使用了search-ms协议加上精心构造的语句，一旦用户点击确定就会在资源管理器中打开攻击者提前放置好的文件，加上适当的伪装，会让受害者以为是自己主机上的文件，从而降低警惕直接打开。

复现：

使用wsgidav创建一个webdav服务器

pip install wsgidav

wsgidav –host=0.0.0.0 –port=8080 –root=WebDAV –auth=anonymous

之后在浏览器中跳转到指定URL，点击打开则会在资源管理器中打开对应资源。

该事件中的组织则是使用这样的办法执行了lnk文件，在lnk文件中除了使用msedge打开远程pdf之外还使用WebDAV的python.exe执行了Client.py，该文件执行之后会从远程服务器下载相关文件并执行。

使用这种方式执行文件时explorer.exe会通过HTTP协议从网络上下载文件并内存执行，如果执行的文件需要加载库文件会优先从网络上下载。

【深信服终端安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件。aES全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。