攻击技术又升级!黑客使用新技巧禁用“武器化”办公文档宏安全警告 – 作者:中科天齐软件安全中心

威胁参与者设计了一种新技巧来禁用宏安全警告,这些警告在恶意垃圾邮件攻击中利用非恶意文档。

虽然网络钓鱼活动通常会分发武器化的Microsoft Office文档,提示受害者启用宏以直接触发感染链,但新发现表明,无需任何用户交互即可完全禁用宏安全警告。

在恶意软件作者继续改进其技术以逃避检测的另一个实例中,网络安全研究人员偶然发现了一种新的策略,“下载并执行恶意DLL (ZLoader),而初始垃圾邮件附件宏中不存在任何恶意代码”。

该网络安全公司指出,使用这种机制传播的ZLoader病毒感染主要在美国、加拿大、西班牙、日本和马来西亚。该恶意软件是臭名昭著的ZeuS银行木马的后代,以积极使用启用宏的Office文档作为初始攻击载体,从目标金融机构的用户窃取凭证和个人身份信息而闻名。

恶意软件新手段是怎样的?

在调查这些入侵时,研究人员发现,感染链始于一封包含微软Word文档附件的网络钓鱼电子邮件,打开后会从远程服务器下载一个有密码保护的Excel文件。但是,值得注意的是,需要在Word文档中启用宏才能触发下载。

“下载XLS文件后,Word VBA从XLS读取单元格内容,并为相同的XLS文件创建一个新的宏,并将单元格内容作为函数写入XLS VBA宏中,”研究人员说。“一旦宏写好并准备好,Word文档就会在注册表中设置策略为‘禁用Excel宏警告’,并从Excel文件中调用恶意宏函数。”Excel文件现在下载ZLoader有效负载。然后使用rundll32.exe执行ZLoader有效载荷。”

考虑到宏带来的“重大安全风险”,该功能通常默认禁用,从而促使威胁行为者展示令人信服的诱惑来诱骗受害者启用它们。通过关闭向用户显示的安全警告,这种攻击是值得注意的,因为它采取了阻止安全检测并不容易被发现。

加强网络安全应更细节化

恶意文件一直是大多数恶意软件家族的切入点,这些攻击一直在发展它们的感染技术和混淆,不仅限于从VBA直接下载有效载荷,而且还动态创建代理来下载有效载荷。在感染链中使用此类代理不仅限于Word或Excel,而且进一步的威胁可能会使用其他同类工具来下载其有效载荷。因此在使用文档或办公软件时,建议时刻警惕潜在的恶意软件攻击,并对设备做好安全防护。

随着网络攻击者的技术手段不断升级,仅靠传统的安全防护措施并不能保证完全抵抗住恶意软件攻击,加强网络安全更应细节化,在做好外部及系统安全防御的同时,也要关注软件本身的安全性。尤其如今应用软件大爆发时代,在开发初期关注软件安全是做好网络安全的基础防线。建议将安全测试贯穿在软件开发整个周期当中,利用静态代码检测及动态应用安全测试等自动化工具协助开发,以降低软件系统中存在的安全漏洞,减少被恶意软件攻击的风险。

参读链接:

https://www.woocoom.com/b021.html?id=3cff52a7bd3745509660897ac47d5925

https://thehackernews.com/2021/07/hackers-use-new-trick-to-disable-macro.html

来源:freebuf.com 2021-07-12 11:46:34 by: 中科天齐软件安全中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享