Microsoft Office Excel 的旧用户正成为恶意软件活动的目标 – 作者:Alpha_h4ck

事件报道

根据安全专家的最新发现，Microsoft Excel的旧用户正成为恶意软件的攻击目标。这种恶意软件攻击活动使用了一种新的恶意软件混淆技术来禁用Microsoft Office的安全防御机制，然后传播和感染Zloader木马病毒。

根据McAfee周四发表的研究报告，这次攻击结合了Microsoft Office Word和Excel中的功能，以共同下载Zloader Payload，而且不会在终端触发恶意攻击警报。

Zloader是一种针对银行的特洛伊木马，旨在窃取目标金融机构用户的凭据和其他私人信息。

Zloader的初始攻击向量是基于收件箱的网络钓鱼消息，其中会附带Word文档附件，并包含非恶意的代码。因此，它通常不会触发电子邮件网关或客户端防病毒软件来阻止攻击。

同时，Zloader的宏混淆技术利用Microsoft Office的Excel动态数据交换（DDE）字段和基于Windows的Visual Basic for Applications（VBA）对支持传统XLS格式的系统发起攻击。

初始感染链

研究人员通过分析后发现，恶意软件首先通过包含Microsoft Word文档作为附件的网络钓鱼电子邮件抵达目标用户的主机系统。当用户打开文档并启用宏功能时，Word文档就会下载并打开另一个受密码保护的Microsoft Excel文档。

接下来，嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格，从而禁用Office的安全防御功能。

一旦宏被写入并准备就绪，Word文档就会将注册表中的策略设置为“禁用Excel宏警告”，并从Excel文件中调用恶意宏函数。此时，Excel文件将会下载Zloader Payload，并通过rundll32.exe执行Zloader Payload。

混淆机制分析

由于Microsoft Office会自动禁用宏功能，因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。

消息中会提醒用户：“此文档是在以前版本的Microsoft Office Word中创建的。若要查看或编辑此文档，请单击顶部栏上的“启用编辑”按钮，然后单击“启用内容”。”

攻击者可以利用DDE和VBA来实现这个目标，而这两个功能是标准的微软工具随Windows系统提供。

DDE是一种在应用程序（如Excel和Word）之间传输数据的方法。对于Zloader，恶意软件会使用Word中的信息更新电子表格单元格的内容。Word文档可以读取下载的.XLS文件中特定Excel单元格的内容，然后使用基于Word的VBA指令填充Excel文档。

而VBA则是微软用于Excel、Word和其他Office程序的编程语言，VBA允许用户使用宏记录器工具创建命令字符串。在这种情况下，与VBA的其他滥用案例一样，Zloader也会利用这种功能来创建恶意宏脚本。

Excel将记录用户执行的所有步骤，并将其保存为一个名为“process”的宏。当用户停止操作之后，这个宏将会被保存下来，并且会被分配给一个按钮，当用户点击这个按钮时，它会再次运行完全相同的过程。

禁用Excel宏警告

恶意软件的开发人员通过在Word文档中嵌入指令，从Excel单元格中提取内容，实现了警告绕过。接下来，Word文件会通过写入检索到的内容，在下载的Excel文件中创建一个新的VBA模块。

一旦Excel宏被创建并准备好执行，脚本将修改Windows的注册表键以禁用受害者计算机上VBA的信任访问。这使得脚本能够无缝地执行功能，而不会弹出任何的警告。

在禁用信任访问后，恶意软件将创建并执行一个新的Excel VBA，然后触发Zloader的下载行为。

毫无疑问，恶意文档一直是大多数恶意软件家族的初始感染入口，这些攻击也在不断演变和升级其感染技术以及混淆技术。因此，我们建议广大用户，仅当接收到的文档来自可信来源时才启用宏功能，这样才是安全的。

来源：freebuf.com 2021-07-14 18:24:06 by: Alpha_h4ck