攻击技术又升级！黑客使用新技巧禁用“武器化”办公文档宏安全警告 – 作者:中科天齐软件安全中心

威胁参与者设计了一种新技巧来禁用宏安全警告，这些警告在恶意垃圾邮件攻击中利用非恶意文档。

虽然网络钓鱼活动通常会分发武器化的Microsoft Office文档，提示受害者启用宏以直接触发感染链，但新发现表明，无需任何用户交互即可完全禁用宏安全警告。

在恶意软件作者继续改进其技术以逃避检测的另一个实例中，网络安全研究人员偶然发现了一种新的策略，“下载并执行恶意DLL (ZLoader)，而初始垃圾邮件附件宏中不存在任何恶意代码”。

该网络安全公司指出，使用这种机制传播的ZLoader病毒感染主要在美国、加拿大、西班牙、日本和马来西亚。该恶意软件是臭名昭著的ZeuS银行木马的后代，以积极使用启用宏的Office文档作为初始攻击载体，从目标金融机构的用户窃取凭证和个人身份信息而闻名。

恶意软件新手段是怎样的?

在调查这些入侵时，研究人员发现，感染链始于一封包含微软Word文档附件的网络钓鱼电子邮件，打开后会从远程服务器下载一个有密码保护的Excel文件。但是，值得注意的是，需要在Word文档中启用宏才能触发下载。

“下载XLS文件后，Word VBA从XLS读取单元格内容，并为相同的XLS文件创建一个新的宏，并将单元格内容作为函数写入XLS VBA宏中，”研究人员说。“一旦宏写好并准备好，Word文档就会在注册表中设置策略为‘禁用Excel宏警告’，并从Excel文件中调用恶意宏函数。”Excel文件现在下载ZLoader有效负载。然后使用rundll32.exe执行ZLoader有效载荷。”

考虑到宏带来的“重大安全风险”，该功能通常默认禁用，从而促使威胁行为者展示令人信服的诱惑来诱骗受害者启用它们。通过关闭向用户显示的安全警告，这种攻击是值得注意的，因为它采取了阻止安全检测并不容易被发现。

加强网络安全应更细节化

恶意文件一直是大多数恶意软件家族的切入点，这些攻击一直在发展它们的感染技术和混淆，不仅限于从VBA直接下载有效载荷，而且还动态创建代理来下载有效载荷。在感染链中使用此类代理不仅限于Word或Excel，而且进一步的威胁可能会使用其他同类工具来下载其有效载荷。因此在使用文档或办公软件时，建议时刻警惕潜在的恶意软件攻击，并对设备做好安全防护。

随着网络攻击者的技术手段不断升级，仅靠传统的安全防护措施并不能保证完全抵抗住恶意软件攻击，加强网络安全更应细节化，在做好外部及系统安全防御的同时，也要关注软件本身的安全性。尤其如今应用软件大爆发时代，在开发初期关注软件安全是做好网络安全的基础防线。建议将安全测试贯穿在软件开发整个周期当中，利用静态代码检测及动态应用安全测试等自动化工具协助开发，以降低软件系统中存在的安全漏洞，减少被恶意软件攻击的风险。

参读链接：

https://www.woocoom.com/b021.html?id=3cff52a7bd3745509660897ac47d5925

https://thehackernews.com/2021/07/hackers-use-new-trick-to-disable-macro.html

来源：freebuf.com 2021-07-12 11:46:34 by: 中科天齐软件安全中心