一项新的网络钓鱼活动正滥用 Windows 搜索协议 (search-ms URI) 的 HTML 附件来推送托管在远程服务器上的批处理文件，从而传播恶意软件。

Windows Search 协议是一种统一资源标识符 (URI)，它使应用程序能够打开 Windows 资源管理器以使用特定参数执行搜索。

虽然大多数 Windows 搜索都会查看本地设备的索引，但也可以强制 Windows 搜索查询远程主机上的文件共享并使用自定义标题作为搜索窗口。

攻击者可以利用此功能在远程服务器上共享恶意文件。2022 年 6 月，安全研究人员设计了一个强大的攻击链，该攻击链还利用了 Microsoft Office 漏洞直接从 Word 文档启动搜索。

Trustwave SpiderLabs 的研究人员在报告中说，这种技术已被威胁分子广泛使用，他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。

滥用 Windows Search

Trustwave 报告中描述的近期攻击始于一封恶意电子邮件，该邮件带有一个伪装成发票文档的 HTML 附件，该附件位于一个小型 ZIP 存档中。ZIP 有助于逃避可能无法解析存档中的恶意内容的安全/AV 扫描程序。

电子邮件附件

该HTML文件使用标签，导致浏览器在打开HTML文档时自动打开恶意URL。

HTML 文件内容

如果由于浏览器设置阻止重定向或其他原因导致元刷新失败，则锚标记会提供指向恶意 URL 的可点击链接，作为后备机制。但这需要用户采取相应行动。

搜索提示和“故障安全”链接

示例中，URL 是用于 Windows Search 协议使用以下参数在远程主机上执行搜索的：

·询问：搜索标签为“INVOICE”的项目。

·标记：指定搜索范围，通过 Cloudflare 指向恶意服务器。

·显示名称：将搜索显示重命名为“下载”，以模仿合法界面

·位置：使用 Cloudflare 的隧道服务来掩盖服务器，通过将远程资源呈现为本地文件使其看起来合法。

接下来，搜索会从远程服务器检索文件列表，显示一个名为发票的快捷方式 (LNK) 文件。如果受害者点击该文件，则会触发托管在同一服务器上的批处理脚本 (BAT)。

搜索结果

Trustwave 还无法确定 BAT 的作用，因为在分析时服务器已关闭，但进行危险操作的可能性很高。

为了防御此威胁，安全研究人员建议通过执行以下命令删除与 search-ms/search URI 协议相关的注册表项：

此操作应小心进行，因为它也会阻止依赖此协议的合法应用程序和集成 Windows 功能按预期工作。

参考及来源：https://www.bleepingcomputer.com/news/security/phishing-emails-abuse-windows-search-protocol-to-push-malicious-scripts/