Excel 旧用户正成为恶意软件的目标
事件报道
根据安全专家的最新发现,Microsoft Excel的旧用户正成为恶意软件的攻击目标。这种恶意软件攻击活动使用了一种新的恶意软件混淆技术来禁用Microsoft Office的安全防御机制,然后传播和感染Zloader木马病毒。
根据McAfee周四发表的研究报告,这次攻击结合了Microsoft Office Word和Excel中的功能,以共同下载Zloader Payload,而且不会在终端触发恶意攻击警报。
Zloader是一种针对银行的特洛伊木马,旨在窃取目标金融机构用户的凭据和其他私人信息。
Zloader的初始攻击向量是基于收件箱的网络钓鱼消息,其中会附带Word文档附件,并包含非恶意的代码。因此,它通常不会触发电子邮件网关或客户端防病毒软件来阻止攻击。
同时,Zloader的宏混淆技术利用Microsoft Office的Excel动态数据交换(DDE)字段和基于Windows的Visual Basic for Applications(VBA)对支持传统XLS格式的系统发起攻击。
初始感染链
研究人员通过分析后发现,恶意软件首先通过包含Microsoft Word文档作为附件的网络钓鱼电子邮件抵达目标用户的主机系统。当用户打开文档并启用宏功能时,Word文档就会下载并打开另一个受密码保护的Microsoft Excel文档。
接下来,嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格,从而禁用Office的安全防御功能。
一旦宏被写入并准备就绪,Word文档就会将注册表中的策略设置为“禁用Excel宏警告”,并从Excel文件中调用恶意宏函数。此时,Excel文件将会下载Zloader Payload,并通过rundll32.exe执行Zloader Payload。
混淆机制分析
由于Microsoft Office会自动禁用宏功能,因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。
消息中会提醒用户:“此文档是在以前版本的Microsoft Office Word中创建的。若要查看或编辑此文档,请单击顶部栏上的“启用编辑”按钮,然后单击“启用内容”。”
攻击者可以利用DDE和VBA来实现这个目标,而这两个功能是标准的微软工具随Windows系统提供。
DDE是一种在应用程序(如Excel和Word)之间传输数据的方法。对于Zloader,恶意软件会使用Word中的信息更新电子表格单元格的内容。Word文档可以读取下载的.XLS文件中特定Excel单元格的内容,然后使用基于Word的VBA指令填充Excel文档。
而VBA则是微软用于Excel、Word和其他Office程序的编程语言,VBA允许用户使用宏记录器工具创建命令字符串。在这种情况下,与VBA的其他滥用案例一样,Zloader也会利用这种功能来创建恶意宏脚本。
Excel将记录用户执行的所有步骤,并将其保存为一个名为“process”的宏。当用户停止操作之后,这个宏将会被保存下来,并且会被分配给一个按钮,当用户点击这个按钮时,它会再次运行完全相同的过程。
禁用Excel宏警告
恶意软件的开发人员通过在Word文档中嵌入指令,从Excel单元格中提取内容,实现了警告绕过。接下来,Word文件会通过写入检索到的内容,在下载的Excel文件中创建一个新的VBA模块。
一旦Excel宏被创建并准备好执行,脚本将修改Windows的注册表键以禁用受害者计算机上VBA的信任访问。这使得脚本能够无缝地执行功能,而不会弹出任何的警告。
在禁用信任访问后,恶意软件将创建并执行一个新的Excel VBA,然后触发Zloader的下载行为。
毫无疑问,恶意文档一直是大多数恶意软件家族的初始感染入口,这些攻击也在不断演变和升级其感染技术以及混淆技术。因此,我们建议广大用户,仅当接收到的文档来自可信来源时才启用宏功能,这样才是安全的。