攻防最前线：Word+YouTube视频无感攻击技术被曝光

Cymulate 的研究团队发现了一种滥用微软 Word 的在线视频功能来执行恶意代码的方法。专家们使用嵌入在武器化的 Microsoft Office 文档中的 YouTube 视频链接创建了概念验证攻击。攻击者可以将其用于恶意的目的, 如网络钓鱼。

Cymulate 研究团队发布了一个在线视频POC： 当用户点击一个YouTube 视频（嵌入在一个恶意的office文档中），可执行 JavaScript 代码。而，这一切可以做到用户无感。

在 Word 文档中嵌入视频时, 将创建一个 HTML 脚本, 并在单击文档中的缩略图时由 IE浏览器执行它。恶意文档将显示嵌入的在线视频与 YouTube 的链接, 同时伪装隐藏的 html/javascript 代码将在后台运行, 可能会导致进一步代码执行。

此攻击是通过在 Word 文档内嵌入视频、编辑名为文档的 xml 文件、将视频链接替换为攻击者创建的特制有效负载来实现的。该操作将使用嵌入式代码执行打开 Internet 资源管理器下载管理器文件。

一个名为 "文档. XML" 的默认 XML 文件可以由攻击者编辑, 特别是可以修改包含在名为 "embeddedHtml" 的参数中的视频配置, 以及用于 YouTube 视频的 iFrame, 这可替换为攻击者 HTML。

在研究人员提出的攻击场景中, 他们在自己的 HTML 中, Base64-encoded 恶意软件二进制文件打开了 ie 浏览器的下载管理器, 进而又安装了恶意代码。

这一切是用户无感的, 恶意软件是默默地安装在受害者的机器上。专家分享了攻击的视频 PoC。在攻击的流程如下:

1. 创建 Word 文档。

2. 嵌入在线视频: 插入 >> 在线视频和添加任何 YouTube 视频。

3. 使用嵌入的在线视频保存 Word 文档。

4. 解压缩 Word 文档: docx 文件，实际上是您可能会在 docx 文件中看到的所有媒体文件的包。如果您解压缩文件（通过使用unpacker或更改 docx 扩展名为 zip，再解压 ）都会得到几个文件和目录。

5. 编辑 word 文件夹下的文档. xml 文件。

6. 在. xml 文件中, 查找包含 Youtube iframe code的 embeddedHtml 参数 (在 WebVideoPr 下)。将当前的 iframe code替换为由IE 浏览器支持的任何 html 代码或javascript。

7. 保存文档. xml 文件中的更改, 使用修改后的 xml 更新 docx 包并打开文档。

Cymulate 的首席技术官本-约瑟夫解释说, 反恶意软件检测取决于攻击中使用的特定负载以及它实现的规避技术。

该技术适用于 Office 2016 和较旧版本, 研究人员通知微软, 但 微软 并不承认该技术是一个安全缺陷。 （这就可怕了 ~！）

视频POC

https://www.businesswire.com/news/home/20181025005616/en/Cymulate-Finds-Logical-Bug-Microsoft-Office-Suite

声明：本文来自malwarebenchmark，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。