新的無宏技術分發惡意軟體

「用指尖改變世界」

提到感染媒介，惡意office文檔無疑屬於最常見和有效的類型，企業經常深受其害。僅在今年大眾就目睹了Flash和VBScript引擎的兩個零日漏洞，這些引擎先嵌入了Office文檔，隨後在Web漏洞利用工具包中得到更廣泛的採用。

除了利用軟體漏洞之外，攻擊者還經常濫用正常的Office功能，例如宏，或者更加模糊的功能，如動態數據交換（DDE），當然還有對象鏈接和嵌入（OLE）攻擊，這些攻擊也可以與漏洞混合使用。系統管理員可以通過禁用公司範圍內的某些功能來強化端點，例如，阻止某些試圖欺騙用戶啟用惡意宏的社交工程方案。在最新版本的Office中，Microsoft還根據可通過組策略自定義的擴展列表阻止激活被視為高風險的對象。

但是最近Malwarebytes Lab 的安全研究員Matt Nelson的一項發現表明，另一個感染載體可以被利用，它可以繞過當前的保護設置，甚至可以繞過微軟新的減少攻擊面技術。通過將特製的設置文件嵌入到Office文檔中，攻擊者可以在沒有任何警告或通知的情況下欺騙用戶運行惡意代碼。

特定於Windows 10的文件格式稱為.SettingContent.ms，本質上是用於創建控制面板快捷方式的XML代碼。此功能可能會被濫用，因為其中一個元素（DeepLink）允許執行任何帶參數的二進位文件。攻擊者需要做的就是使用Powershell.exe或Cmd.exe添加自己的命令。剩下的就是歷史。

Nick Carr發現的新腳本顯示了一個攻擊，PowerShell被調用來下載和執行一個木馬(VT報告)。據發現這項新技術的馬特·納爾遜(Matt Nelson)說，微軟暫時不會修復它。

GIF

在過去的幾年中，儘管Web漏洞利用工具包的開發很少，但是有很多活動都是使用文檔漏洞利用工具包，如Microsoft Word 1Intruder（WMI）或Threadkit。這些工具包允許攻擊者製作誘餌並嵌入他們選擇的漏洞，然後再對其受害者進行網路釣魚或通過較大的垃圾郵件活動發送文件。

對於最終用戶和企業而言，重要的是要認識到文檔是理想的惡意軟體傳遞載體，需要足夠的保護和培訓才能抵禦。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！