事件報道
根據(jù)安全專家的最新發(fā)現(xiàn),,Microsoft Excel的舊用戶正成為惡意軟件的攻擊目標。這種惡意軟件攻擊活動使用了一種新的惡意軟件混淆技術(shù)來禁用Microsoft Office的安全防御機制,,然后傳播和感染Zloader木馬病毒,。
根據(jù)McAfee周四發(fā)表的研究報告,這次攻擊結(jié)合了Microsoft Office Word和Excel中的功能,,以共同下載Zloader Payload,,而且不會在終端觸發(fā)惡意攻擊警報。
Zloader是一種針對銀行的特洛伊木馬,,旨在竊取目標金融機構(gòu)用戶的憑據(jù)和其他私人信息,。
Zloader的初始攻擊向量是基于收件箱的網(wǎng)絡釣魚消息,其中會附帶Word文檔附件,,并包含非惡意的代碼,。因此,它通常不會觸發(fā)電子郵件網(wǎng)關(guān)或客戶端防病毒軟件來阻止攻擊,。
同時,,Zloader的宏混淆技術(shù)利用Microsoft Office的Excel動態(tài)數(shù)據(jù)交換(DDE)字段和基于Windows的Visual Basic for Applications(VBA)對支持傳統(tǒng)XLS格式的系統(tǒng)發(fā)起攻擊。
初始感染鏈
研究人員通過分析后發(fā)現(xiàn),,惡意軟件首先通過包含Microsoft Word文檔作為附件的網(wǎng)絡釣魚電子郵件抵達目標用戶的主機系統(tǒng),。當用戶打開文檔并啟用宏功能時,Word文檔就會下載并打開另一個受密碼保護的Microsoft Excel文檔,。
接下來,,嵌入Word文檔中的基于VBA的指令會讀取精心構(gòu)建的Excel電子表格單元以創(chuàng)建宏。這個宏將使用附加的VBA宏填充同一XLS文檔中的附加單元格,,從而禁用Office的安全防御功能,。
一旦宏被寫入并準備就緒,Word文檔就會將注冊表中的策略設置為“禁用Excel宏警告”,,并從Excel文件中調(diào)用惡意宏函數(shù),。此時,Excel文件將會下載Zloader Payload,,并通過rundll32.exe執(zhí)行Zloader Payload,。
混淆機制分析
由于Microsoft Office會自動禁用宏功能,因此攻擊者會試圖用出現(xiàn)在Word文檔中的消息欺騙目標用戶以啟用宏功能,。
消息中會提醒用戶:“此文檔是在以前版本的Microsoft Office Word中創(chuàng)建的,。若要查看或編輯此文檔,請單擊頂部欄上的”啟用編輯“按鈕,,然后單擊”啟用內(nèi)容“,。”
攻擊者可以利用DDE和VBA來實現(xiàn)這個目標,而這兩個功能是標準的微軟工具隨Windows系統(tǒng)提供,。
DDE是一種在應用程序(如Excel和Word)之間傳輸數(shù)據(jù)的方法,。對于Zloader,惡意軟件會使用Word中的信息更新電子表格單元格的內(nèi)容,。Word文檔可以讀取下載的,。XLS文件中特定Excel單元格的內(nèi)容,然后使用基于Word的VBA指令填充Excel文檔,。
而VBA則是微軟用于Excel,、Word和其他Office程序的編程語言,VBA允許用戶使用宏記錄器工具創(chuàng)建命令字符串,。在這種情況下,,與VBA的其他濫用案例一樣,Zloader也會利用這種功能來創(chuàng)建惡意宏腳本,。
Excel將記錄用戶執(zhí)行的所有步驟,,并將其保存為一個名為“process”的宏。當用戶停止操作之后,,這個宏將會被保存下來,,并且會被分配給一個按鈕,當用戶點擊這個按鈕時,,它會再次運行完全相同的過程,。
禁用Excel宏警告
惡意軟件的開發(fā)人員通過在Word文檔中嵌入指令,從Excel單元格中提取內(nèi)容,,實現(xiàn)了警告繞過。接下來,,Word文件會通過寫入檢索到的內(nèi)容,,在下載的Excel文件中創(chuàng)建一個新的VBA模塊。
一旦Excel宏被創(chuàng)建并準備好執(zhí)行,,腳本將修改Windows的注冊表鍵以禁用受害者計算機上VBA的信任訪問,。這使得腳本能夠無縫地執(zhí)行功能,而不會彈出任何的警告,。
在禁用信任訪問后,,惡意軟件將創(chuàng)建并執(zhí)行一個新的Excel VBA,然后觸發(fā)Zloader的下載行為,。
毫無疑問,,惡意文檔一直是大多數(shù)惡意軟件家族的初始感染入口,這些攻擊也在不斷演變和升級其感染技術(shù)以及混淆技術(shù),。因此,,我們建議廣大用戶,僅當接收到的文檔來自可信來源時才啟用宏功能,,這樣才是安全的,。
