攻击技术研判｜Microsoft应用程序安装新方式ms-appinstaller 钓鱼攻击利用

亮点：ms-appinstaller安装恶意程序

如下图，在该次攻击中，攻击者所制作的钓鱼文件引诱受害者下载恶意文件，如红框所示，链接开头使用的不是常规的http://，而是ms-appinstaller:

在Microsoft的官方文档中，ms-appinstaller是Microsoft为了简化应用程序安装流程，提高效率，避免磁盘浪费而提出的一种安装应用程序的web协议。该协议独立于浏览器，减轻了Web开发人员在多个浏览器上测试场景的压力，可以实现从托管的web服务器直接安装应用程序。

在浏览器页面输入ms-appinstaller:，执行效果如下：

在实际的攻击利用时，需要制作两种文件，.appinstaller文件和.appbundle文件。其中.appinstaller文件用来描述安装时所需的信息例如：应用本身、可选包和依赖文件，本身是一个XML文件。.appbundle文件包含真实的安装文件和AppsManifest.xml清单文件，清单文件则包含了安装时显示的文本信息。

在实际的攻击活动中，受害者点击的ms-appinstaller的链接指向XML文本文件Adobe.appinstaller。其中包含下一阶段Adobe_1.7.0.0_x64.appbundle 文件的URL。

总体的攻击过程如下：

1.受害者打开ms-appinstaller链接

2.浏览器提示是否调用AppInstall.exe

3. AppInstall.exe解析.appinstaller内容，屏幕显示.appbundle安装包的清单中的安装信息

4. 受害者再次确认安装后，执行最终实际安装

本次攻击活动中，攻击者将.appinstaller文件和.appbundle都托管在Microsoft 的云存储当中，在受害者点击后触发安装提示，域名adobeview和windows.net会让链接更具信任感：

当受害者点击open后，提示浏览器调用AppInstall.exe， 它会解析执行执行.appinstaller文件的内容， 读取.appbundle的链接并进行安装，首先显示攻击者在AppsManifest.xml清单文件中伪造的安装信息，再次欺骗受害者确认安装。

攻击者伪造的pdf文件实际上是appxbundle格式文件，该格式文件是ms-appinstaller所支持的文件格式之一，该web协议支持的文件格式如下：

.msix 应用程序/msix

.appx 应用程序/应用程序

.msixbundle 应用程序/msixbundle

.appxbundle 应用程序/应用程序包

.appinstaller 应用程序/应用程序安装程序

这些文件格式是Microsoft继exe和msi格式文件后，在软件包和安装程序上提出的新格式，在格式上继往开来，具有更多的优点，比如在安装卸载上更加干净，不会有如注册表之类的残留信息；比起之前的格式文件更加安全有效。

安装过程可以使用多种web服务的形式进行托管部署：

1.Azure Web 部署

2.IIS 服务器部署

3.AWS Web 服务部署

在之前Mcafee的报告中，就有发现使用MSIX文件格式伪造的windows defender更新程序的钓鱼文件。如下图，该MSIX格式的钓鱼文件伪造了版本、发布者以及一些详细的说明信息，且使用了窃取的数字签名，界面美观，很好地伪装成了win10操作系统的更新程序。

剖析MSIX文件的生成，可以发现：在生成该文件过程中，该类信息的伪造是比较方便的。

如上图所示，攻击者可以方便地伪造钓鱼文件的发布者、命名、版本和证书，并且可以兼容低版本的平台系统。

在该过程如果受害者的电脑是默认隐藏后缀名的情况下，那么也可以伪装成exe程序。

攻击者开发恶意程序后使用MSIX将其进行打包并伪造各类信息，真假难辨,再使用ms-appinstaller实现直接在网页安装应用程序，实现攻击。这种方式伪造效果好，直接在网页上可以安装程序，减少了安装步骤，与传统EXE和MSI相比比较新颖，对安全设备等可能具有绕过效果。

Microsoft往往出于优化和提高用户体验的目的会推出新的功能产品，但这往往却成为攻击者恶意利用的藏身之处，导致安全防御厂商也必须跟进实现检测，攻防互促，提高检测能力。攻击者可以成功利用安全防护产品对这些新功能检测的缺失，对新的功能产品的检测不及时的缺陷，达到攻击目的。对ms-appinstaller和MSIX等文件格式的利用，可能会成为钓鱼攻击的新手段，值得蓝军安全研究人员学习。