无需宏,PPT也能用来投递恶意程序

栏目: 编程工具 · 发布时间: 7年前

内容简介:无需宏,PPT也能用来投递恶意程序

近日,网络犯罪者开发出了一种新型攻击技术,它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码,并下载恶意程序。

使用经过特制的Office文件——特别是Word文档来传播恶意软件其实并不少见,此类攻击通常依靠社会工程学(对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段)来欺骗受害者,诱使其启用文档中嵌入的VBA宏。

然而,研究人员最近发现,一种全新的攻击手段开始以恶意PPT文件为载体,通过鼠标悬停事件执行PowerShell代码。这些名为“order.ppsx”或“invoice.ppsx”的文件通过垃圾邮件进行分发,其主题多为“采购订单#130527”或“待确认事项”等,伪装成商务邮件进行攻击。

安全专家RubenDanielDodge进行的分析显示,当恶意PPT被打开时,它将显示为一个可以点击的超链接,文本是“正在加载……请等待”。

无需宏,PPT也能用来投递恶意程序

有趣的部分来了。这种新型攻击方式的可怕之处是, 只要用户将鼠标悬停在恶意链接上,即使你并没有点击,也会触发执行PowerShell代码。 一般来说,大多数版本的Office都会默认启用安全防护功能,通知用户一些常见的风险,提示用户启用或禁用某些内容,但此类保护对悬停攻击却成效甚微。另外,这种攻击也不需要用户启用宏来执行代码,而是使用外部程序功能。  

如果受害者中招,PowerShell代码将被执行并连接到网站“cccn.nl”。接下来就是常规套路了,随后会从该域名下载文件并执行,最终部署恶意程序downloader。

无需宏,PPT也能用来投递恶意程序

Dodge This Security博客在针对该恶意程序的 分析中提到 ,首张PPT Slide1的“rID2”元素定义中可见其PowerShell命令,如上图所示。而下面这张图中标注的红色部分,就是悬停动作的具体定义了。  

无需宏,PPT也能用来投递恶意程序

RubenDanielDodge已经在文中 公布了其IoC。很不幸的是,他们发现这种攻击方式在此之前就已经有人在用了——被用来传播一种网银木马的变种,没错,就是大名鼎鼎的“Zusy”、“Tinba”或被称为“TinyBanker”。  

关于PPT投递恶意软件为何会有这么多人中招,Sentinel One是这样分析的:

用户仍然习惯于允许外部程序运行,因为他们总是既懒又忙,要不就是屏蔽了宏就以为高枕无忧了。而且,一些配置可能在外部程序中执行起来比用宏更方便。

当然,这种攻击也并非无往不利。有安全公司指出,如果使用Power Point Viewer打开恶意PPT文件即可使攻击失效。另外,大多数版本的Office在执行代码之前都会警告用户,虽然效果有限,但在某些情况下也可以挽回部分损失。

*参考来源: securityweeksecurityaffairs ,FB小编Akane编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人月神话(40周年中文纪念版)

人月神话(40周年中文纪念版)

(美) 布鲁克斯(Brooks, F. P.) 著 / UML China翻译组,汪颖 译 / 清华大学出版社 / 2015-4-1 / 68.00元

在软件领域,很少能有像《人月神话》一样具有深远影响力和畅销不衰的著作。Brooks博士为人们管理复杂项目提供了最具洞察力的见解,既有很多发人深省的观点,又有大量软件工程的实践。本书内容来自Brooks博士在IBM公司SYSTEM/360家族和OS/360中的项目管理经验,该项目堪称软件开发项目管理的典范。该书英文原版一经面世,即引起业内人士的强烈反响,后又译为德、法、日、俄、中、韩等多种文字,全球......一起来看看 《人月神话(40周年中文纪念版)》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

MD5 加密
MD5 加密

MD5 加密工具