查看: 2331|回复: 9
收起左侧

[资讯] 无需宏,PPT也能用来投递恶意程序

[复制链接]
FUZE
发表于 2017-6-9 15:42:55 | 显示全部楼层 |阅读模式
近日,网络犯罪者开发出了一种新型攻击技术,它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码,并下载恶意程序。  

使用经过特制的Office文件——特别是Word文档来传播恶意软件其实并不少见,此类攻击通常依靠社会工程学(对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段)来欺骗受害者,诱使其启用文档中嵌入的VBA宏。  

然而,研究人员最近发现,一种全新的攻击手段开始以恶意PPT文件为载体,通过鼠标悬停事件执行PowerShell代码。这些名为“order.ppsx”或“invoice.ppsx”的文件通过垃圾邮件进行分发,其主题多为“采购订单#130527”或“待确认事项”等,伪装成商务邮件进行攻击。  

安全专家RubenDanielDodge进行的分析显示,当恶意PPT被打开时,它将显示为一个可以点击的超链接,文本是“正在加载……请等待”。

有趣的部分来了。这种新型攻击方式的可怕之处是,只要用户将鼠标悬停在恶意链接上,即使你并没有点击,也会触发执行PowerShell代码。一般来说,大多数版本的Office都会默认启用安全防护功能,通知用户一些常见的风险,提示用户启用或禁用某些内容,但此类保护对悬停攻击却成效甚微。另外,这种攻击也不需要用户启用宏来执行代码,而是使用外部程序功能。  

如果受害者中招,PowerShell代码将被执行并连接到网站“cccn.nl”。接下来就是常规套路了,随后会从该域名下载文件并执行,最终部署恶意程序downloader。

Dodge This Security博客在针对该恶意程序的分析中提到,首张PPT Slide1的“rID2”元素定义中可见其PowerShell命令,如上图所示。而下面这张图中标注的红色部分,就是悬停动作的具体定义了。

RubenDanielDodge已经在文中公布了其IoC。很不幸的是,他们发现这种攻击方式在此之前就已经有人在用了——被用来传播一种网银木马的变种,没错,就是大名鼎鼎的“Zusy”、“Tinba”或被称为“TinyBanker”。  

关于PPT投递恶意软件为何会有这么多人中招,Sentinel One是这样分析的:
用户仍然习惯于允许外部程序运行,因为他们总是既懒又忙,要不就是屏蔽了宏就以为高枕无忧了。而且,一些配置可能在外部程序中执行起来比用宏更方便。
当然,这种攻击也并非无往不利。有安全公司指出,如果使用Power Point Viewer打开恶意PPT文件即可使攻击失效。另外,大多数版本的Office在执行代码之前都会警告用户,虽然效果有限,但在某些情况下也可以挽回部分损失。

原文链接:http://www.freebuf.com/news/136718.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
歌德塔大蜘蛛
发表于 2017-6-9 15:50:34 | 显示全部楼层
本帖最后由 歌德塔大蜘蛛 于 2017-6-9 15:54 编辑

裸奔风险又增加,看谁还敢裸奔
欧阳宣
头像被屏蔽
发表于 2017-6-9 15:54:57 | 显示全部楼层
所以把pe文件杀好才是硬道理啊
wjcharles
发表于 2017-6-9 16:48:04 | 显示全部楼层
欧阳宣 发表于 2017-6-9 15:54
所以把pe文件杀好才是硬道理啊

问题是一般pe文件都是免杀过的。。。
欧阳宣
头像被屏蔽
发表于 2017-6-9 16:49:46 | 显示全部楼层
wjcharles 发表于 2017-6-9 16:48
问题是一般pe文件都是免杀过的。。。

我可能没表达清楚,不管攻击手段如何变化,最后总归要下载payload,把那个杀掉就好了
wjcharles
发表于 2017-6-9 17:03:54 | 显示全部楼层
欧阳宣 发表于 2017-6-9 16:49
我可能没表达清楚,不管攻击手段如何变化,最后总归要下载payload,把那个杀掉就好了

我也没说清楚,通过攻击手段,下载的payload通常会对主流杀软免杀。比如,网马下载的payload是很好的新样本源。
ziyerain2015
发表于 2017-6-9 17:17:12 | 显示全部楼层
有什么办法可以防御嘛?
ccboxes
发表于 2017-6-9 19:28:40 | 显示全部楼层
wjcharles 发表于 2017-6-9 17:03
我也没说清楚,通过攻击手段,下载的payload通常会对主流杀软免杀。比如,网马下载的payload是很好的新样 ...

如果只是扫描的话的确很容易免杀,主防就是另一回事了。混淆再多,动作都是不会变的。

另外不少使用机器学习的统计引擎也很难免杀,因为免杀这类引擎需要的是数学而非编程知识。
ELOHIM
发表于 2017-6-9 20:58:21 | 显示全部楼层
悬停然后外链有意思,后面还是老套路吧……
yic1256
发表于 2017-6-12 15:55:13 | 显示全部楼层
哪个样本看看啊?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 20:32 , Processed in 0.142790 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表