《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Excel 舊用戶正成為惡意軟件的目標

Excel 舊用戶正成為惡意軟件的目標

2021-07-25
來源:工控安全漫談
關(guān)鍵詞: Excel 惡意軟件

  事件報道

  根據(jù)安全專家的最新發(fā)現(xiàn),Microsoft Excel的舊用戶正成為惡意軟件的攻擊目標。這種惡意軟件攻擊活動使用了一種新的惡意軟件混淆技術(shù)來禁用Microsoft Office的安全防御機制,然后傳播和感染Zloader木馬病毒。

  根據(jù)McAfee周四發(fā)表的研究報告,這次攻擊結(jié)合了Microsoft Office Word和Excel中的功能,以共同下載Zloader Payload,而且不會在終端觸發(fā)惡意攻擊警報。

  Zloader是一種針對銀行的特洛伊木馬,旨在竊取目標金融機構(gòu)用戶的憑據(jù)和其他私人信息。

  Zloader的初始攻擊向量是基于收件箱的網(wǎng)絡(luò)釣魚消息,其中會附帶Word文檔附件,并包含非惡意的代碼。因此,它通常不會觸發(fā)電子郵件網(wǎng)關(guān)或客戶端防病毒軟件來阻止攻擊。

  同時,Zloader的宏混淆技術(shù)利用Microsoft Office的Excel動態(tài)數(shù)據(jù)交換(DDE)字段和基于Windows的Visual Basic for Applications(VBA)對支持傳統(tǒng)XLS格式的系統(tǒng)發(fā)起攻擊。

  初始感染鏈

  研究人員通過分析后發(fā)現(xiàn),惡意軟件首先通過包含Microsoft Word文檔作為附件的網(wǎng)絡(luò)釣魚電子郵件抵達目標用戶的主機系統(tǒng)。當用戶打開文檔并啟用宏功能時,Word文檔就會下載并打開另一個受密碼保護的Microsoft Excel文檔。

  接下來,嵌入Word文檔中的基于VBA的指令會讀取精心構(gòu)建的Excel電子表格單元以創(chuàng)建宏。這個宏將使用附加的VBA宏填充同一XLS文檔中的附加單元格,從而禁用Office的安全防御功能。

  一旦宏被寫入并準備就緒,Word文檔就會將注冊表中的策略設(shè)置為“禁用Excel宏警告”,并從Excel文件中調(diào)用惡意宏函數(shù)。此時,Excel文件將會下載Zloader Payload,并通過rundll32.exe執(zhí)行Zloader Payload。

  混淆機制分析

  由于Microsoft Office會自動禁用宏功能,因此攻擊者會試圖用出現(xiàn)在Word文檔中的消息欺騙目標用戶以啟用宏功能。

  消息中會提醒用戶:“此文檔是在以前版本的Microsoft Office Word中創(chuàng)建的。若要查看或編輯此文檔,請單擊頂部欄上的”啟用編輯“按鈕,然后單擊”啟用內(nèi)容“?!?/p>

  攻擊者可以利用DDE和VBA來實現(xiàn)這個目標,而這兩個功能是標準的微軟工具隨Windows系統(tǒng)提供。

  DDE是一種在應(yīng)用程序(如Excel和Word)之間傳輸數(shù)據(jù)的方法。對于Zloader,惡意軟件會使用Word中的信息更新電子表格單元格的內(nèi)容。Word文檔可以讀取下載的。XLS文件中特定Excel單元格的內(nèi)容,然后使用基于Word的VBA指令填充Excel文檔。

  而VBA則是微軟用于Excel、Word和其他Office程序的編程語言,VBA允許用戶使用宏記錄器工具創(chuàng)建命令字符串。在這種情況下,與VBA的其他濫用案例一樣,Zloader也會利用這種功能來創(chuàng)建惡意宏腳本。

  Excel將記錄用戶執(zhí)行的所有步驟,并將其保存為一個名為“process”的宏。當用戶停止操作之后,這個宏將會被保存下來,并且會被分配給一個按鈕,當用戶點擊這個按鈕時,它會再次運行完全相同的過程。

微信圖片_20210725162757.jpg

  禁用Excel宏警告

  惡意軟件的開發(fā)人員通過在Word文檔中嵌入指令,從Excel單元格中提取內(nèi)容,實現(xiàn)了警告繞過。接下來,Word文件會通過寫入檢索到的內(nèi)容,在下載的Excel文件中創(chuàng)建一個新的VBA模塊。

  一旦Excel宏被創(chuàng)建并準備好執(zhí)行,腳本將修改Windows的注冊表鍵以禁用受害者計算機上VBA的信任訪問。這使得腳本能夠無縫地執(zhí)行功能,而不會彈出任何的警告。

  在禁用信任訪問后,惡意軟件將創(chuàng)建并執(zhí)行一個新的Excel VBA,然后觸發(fā)Zloader的下載行為。

  毫無疑問,惡意文檔一直是大多數(shù)惡意軟件家族的初始感染入口,這些攻擊也在不斷演變和升級其感染技術(shù)以及混淆技術(shù)。因此,我們建議廣大用戶,僅當接收到的文檔來自可信來源時才啟用宏功能,這樣才是安全的。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。