Một tính năng tìm kiếmhợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác địnhđể tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thốngđược nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và RemcosRAT.
Chức năng tìm kiếm của Windows bị lạm dụng
Windows cung cấp một tính năng tìm kiếm mạnh mẽ cho phép người dùng nhanh chóng tìm thấy các tệp, thư mục và các mục khác trên máy tính của họ. Một trong những khía cạnh ít được biết đến của tính năng này là trình xử lý giao thức URI “search-ms”, cung cấp khả năng tìm kiếm nâng cao để thực hiện tìm kiếm cục bộ và khả năng thực hiện các truy vấn trên tệp chia sẻ nằm trên máy chủ từ xa, tuy nhiên điều này có thể bị các tin tặc lợi dụng để khai thác.
Trung tâm nghiên cứu nâng cao của công ty an ninh mạng Trellix vừa phát hiện ra kỹ thuật tấn công mới lợi dụng trình xử lý giao thức URI “search-ms”. Các nhà nghiên cứu bảo mật của Trellix là Mathanraj Thangaraju và Sijo Jacob cho biết: “Các tin tặc đang hướng người dùng đến các trang web khai thác chức năng ‘search-ms’ bằng cách sử dụng JavaScript được lưu trữ trên trang. Kỹ thuật này thậm chí đã được mở rộng sang các tệp đính kèm HTML để mở rộng bề mặt tấn công”.
Trong những cuộc tấn công như vậy, các tác nhân đe dọa đã tạo ra các email lừa đảo nhúng metadata hoặc tệp đính kèm HTML có chứa một URL chuyển hướng người dùng đến các trang web bị xâm nhập, để kích hoạt việc thực thi JavaScript độc hại sử dụng trình xử lý giao thức URI để thực hiện tìm kiếm trên máy chủ do tin tặc kiểm soát. Các nhà nghiên cứu giải thích, điều đáng chú ý là việc nhấp vào liên kết cũng tạo ra cảnh báo “Open Windows Explorer?”, cho phép kết quả tìm kiếm của các tệp lối tắt độc hại được lưu trữ từ xa hiển thị trong Windows Explorer được ngụy trang dưới dạng PDF hoặc các biểu tượng đáng tin cậy khác, giống như kết quả tìm kiếm cục bộ.
Kỹ thuật thông minh này che giấu sự thật rằng người dùng đang được cung cấp các tệp từ xa và tạo cho họ về sự tin tưởng. Kết quả là, người dùng có nhiều khả năng mở tệp hơn, cho rằng đó là từ hệ thống của chính họ và vô tình thực thi mã độc. Nếu nạn nhân nhấp vào một trong các tệp lối tắt, nó sẽ dẫn đến việc thực thi thư viện liên kết động (DLL) giả mạo bằng cách sử dụng tiện ích “regsvr32.exe”. Trong một biến thể thay thế của cuộc tấn công, các tệp lối tắt được sử dụng để chạy các tập lệnh PowerShell, do đó, các tập lệnh này sẽ tải xuống các payload bổ sung, đồng thời hiển thị tài liệu PDF giả để đánh lừa nạn nhân.
Phân tích chuỗi lây nhiễm
Hình 1. Luồng thực thi của cuộc tấn công
Sau khi phân tích chi tiết, Trellix quan sát thấy các email lừa đảo sử dụng trình xử lý giao thức URI “search-ms” để tải xuống payload độc hại. Những email này đang cố gắng đánh lừa người nhận nhấp vào một liên kết độc hại bằng cách giả mạo là một yêu cầu báo giá cấp thiết từ người quản lý bán hàng.
Hình 2. Mẫu email lừa đảo
Trong nghiên cứu của mình, các nhà nghiên cứu đã phát hiện các hình thức biến thể tấn công khác như sử dụng email có tệp đính kèm HTML hoặc PDF. Các tệp này chứa các URL dẫn đến các tập lệnh lưu trữ trang web bị xâm nhập kết hợp với trình xử lý giao thức URI “search-ms”. Ngoài ra, các tệp HTML cũng có thể bắt đầu cuộc tấn công bằng cách nhúng các tập lệnh kích hoạt việc thực thi trình xử lý giao thức URI “search-ms”.
Hình 3. Các tệp PDF có URL chứa trình xử lý giao thức URI “search-ms”
Khi nhấp vào liên kết trong email hoặc tệp đính kèm, người nhận sẽ được chuyển hướng đến trang web lạm dụng trình xử lý giao thức URI “search-ms”. Trong Hình 4, có thể thấy gói tin GET request cho page.html từ Hình 2 làm nổi bật tập lệnh đáng ngờ.
Hình 4. HTML với Trình xử lý giao thức URI “search-ms”
Đoạn mã được đánh dấu trên Hình 4 gọi trình xử lý giao thức URI “search-ms” để thực hiện thao tác tìm kiếm trên máy chủ do kẻ tấn công kiểm soát. Mã đoạn này được hiểu như sau:
- : Mã này được gói gọn trong các thẻ