Trustwaveはこのほど、「Search & Spoof: Abuse of Windows Search to Redirect to Malware」において、Windowsの「search:アプリケーションプロトコル」を悪用してマルウェアを配布するサイバー攻撃のキャンペーンを発見したと伝えた。

Trustwaveの調査では途中のペイロードの取得に失敗しており、最終的に配布されるマルウェアは特定できていないが、初期の侵害経路は特定できたとして詳細を公開している。

Search & Spoof: Abuse of Windows Search to Redirect to Malware

○「search:アプリケーションプロトコル」とは

Windowsのsearch:アプリケーションプロトコルは、Windows Vista with Service Pack 1(SP1)から導入された機能。Windowsがデフォルトの検索アプリケーションを決定して呼び出す仕組みを定義している(参考:「Using the search Protocol - Win32 apps | Microsoft Learn」)。この機能はエクスプローラー、Microsoft Edge、Google Chrome、「ファイル名を指定して実行」などから利用することができる。

○侵害経路

今回確認されたキャンペーンでは、請求書の送付などを装った偽のメールが使用される。メールにはアーカイブファイルが添付されており、このファイルにはHTMLファイルが含まれている。

ユーザーが請求書を閲覧するためにHTMLファイルを開くと、search:アプリケーションプロトコルへ自動的にリダイレクトされ、Microsoft Edgeはエクスプローラーを開こうとする。通常、Microsoft Edgeはエクスプローラーを開く前に警告を表示するため、ここでキャンセルを選択すれば問題はない。

Microsoft Edgeがエクスプローラーを開こうとする画面  引用:Trustwave

エクスプローラーを開くことに同意した場合、Microsoft Edgeはエクスプローラーを開き、エクスプローラーは指定されたリモートのサーバーからファイルを検索してその結果を表示する。今回の調査においては「INVOICE」というファイルが検索され、同名のショートカットファイルが表示される。このショートカットファイルはリモートサーバー上のバッチファイルを指しており、ショートカットファイルを開くとバッチファイルが実行される。

Trustwaveはここでバッチファイルのダウンロードおよび実行に失敗している。バッチファイルのダウンロードに失敗した理由はわかっておらず、攻撃者が故意に攻撃を中止した可能性がある。

○対策

このキャンペーンでは添付ファイル付きの偽のメールを使用しており、同様の攻撃を防止するため、メールセキュリティのベストプラクティスを実践することが推奨されている。

また、Trustwaveはsearch:アプリケーションプロトコルを無効にして、攻撃を回避する緩和策を提示している。次のコマンドを実行することで、プロトコルを無効にすることができる。しかしながら、これは他のアプリケーションの動作に影響が出る可能性があるため推奨されていない。

reg delete HKEY_CLASSES_ROOT\search /f

reg delete HKEY_CLASSES_ROOT\search-ms /f

なお、今回使用されたsearch:アプリケーションプロトコルはMozilla Firefoxなどの一部のWebブラウザでは機能しない。既定のブラウザをこのような製品に切り替えることで攻撃を回避可能。