【恶意文件】Search-MS URI协议滥用的钓鱼攻击

APT 10个月前 admin
67 0 0
【恶意文件】Search-MS URI协议滥用的钓鱼攻击

恶意文件名称:

Search-MS URI协议滥用的钓鱼攻击

威胁类型:

钓鱼、后门

简单描述:

APT组织奇幻熊(APT28)通过嵌入恶意链接的电子邮件对乌克兰政府机构及其盟友发起钓鱼攻击。链接滥用Search-MS协议进行恶意文件的投递。



事件描述

十二月中下旬,乌克兰计算机应急响应团队(CERT-UA)公开一次新的钓鱼活动攻击,公布声称APT组织奇幻熊(APT28)针对乌克兰政府机构及其盟友发起钓鱼攻击,网络犯罪分子向受害组织发送包含恶意链接的电子邮件,邮件正文中敦促收件人点击链接浏览文件。当收件人点击链接后,页面内容会诱导收件人点击浏览文档的按钮。


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


一旦点击按钮浏览器会使用Windows资源管理器打开远程lnk文件。


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


lnk文件是通过powershell命令使用msedge打开pdf迷惑受害者,同时运行远程python文件。


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


python文件运行之后会下载恶意文件,执行名为“MASEPIE”的python恶意软件下载器的感染链。


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


该感染链在启动之初会通过AES-128-CBC算法加密通信流量并下载多个文件,之后通过修改注册表和启动目录进行权限维持,以及使用STEELHOOK PowerShell脚本收集Chrome和Edge浏览器的数据,最后使用OCEANMAP进行后门通信,该后门使用C#编写,主要功能是通过cmd执行命令,再使用IMAP协议进行C&C通信。

技术分析


Search-MS协议滥用

Search-MS:search-ms 应用协议是查询 Windows 搜索索引的约定。该协议使应用程序(如 Windows资源管理器)能够使用参数-值的形式查询索引,包括属性参数、以前保存的搜索、高级查询语法 (AQS)、自然查询语法 (NQS) 以及索引器和查询本身的语言代码标识符 (LCID)。相关参数如下:


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


WebDAV:Web Distributed Authoring and Versioning Web Distributed Authoring and Versioning(WebDAV) 是 Web 开发人员可以使用一组额外的 HTTP 协议来管理和维护 Web 服务器上数据的一种方法。这意味着 Web 开发人员可以使用 Windows 文件资源管理器等工具直接管理 Web 服务器上的文件和文件夹。WebDAV 已经存在很长时间并且有许多合法用途。但是用户通过 WebDAV 访问 Web 服务器上的数据的方式并不常见。


此次攻击中,犯罪分子在浏览器页面中嵌入按钮控件,当受害者点击按钮(理论上也可以自动打开)时会在浏览器中执行JavaScript代码实现跳转功能,而跳转的目的地址则是使用了search-ms协议加上精心构造的语句,一旦用户点击确定就会在资源管理器中打开攻击者提前放置好的文件,加上适当的伪装,会让受害者以为是自己主机上的文件,从而降低警惕直接打开。


复现:

使用wsgidav创建一个webdav服务器


pip install wsgidav

wsgidav –host=0.0.0.0 –port=8080 –root=WebDAV –auth=anonymous

之后在浏览器中跳转到指定URL,点击打开则会在资源管理器中打开对应资源。


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


该事件中的组织则是使用这样的办法执行了lnk文件,在lnk文件中除了使用msedge打开远程pdf之外还使用WebDAV的python.exe执行了Client.py,该文件执行之后会从远程服务器下载相关文件并执行。

使用这种方式执行文件时explorer.exe会通过HTTP协议从网络上下载文件并内存执行,如果执行的文件需要加载库文件会优先从网络上下载。

IOC


FA6BA42FEF581768E6A1789B8866C1F2

index.html

47f4b4d8f95a7e842691120c66309d5b

Client.py

825a12e2377dd694bbb667f862d60c43

KFP.311.152.2023.pdf.lnk

6128d9bf34978d2dc7c0a2d463d1bcdd

KFP.311.152.2023.pdf .lnk

194.126.178.8


解决方案

【恶意文件】Search-MS URI协议滥用的钓鱼攻击

深信服解决方案


【深信服终端安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件。aES全新上线“动静态双AI引擎”,静态AI能够在未知勒索载荷落地阶段进行拦截,动态AI则能够在勒索载荷执行阶段进行防御,通过动静态AI双保险机制可以更好地遏制勒索蔓延。请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本。


【恶意文件】Search-MS URI协议滥用的钓鱼攻击


【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。

【恶意文件】Search-MS URI协议滥用的钓鱼攻击


原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】Search-MS URI协议滥用的钓鱼攻击

版权声明:admin 发表于 2024年1月11日 下午5:36。
转载请注明:【恶意文件】Search-MS URI协议滥用的钓鱼攻击 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...