千万不要点击!当心隐藏在微软Office文档中的恶意代码
2021-09-26
来源:祺印说信安
Word、Excel、Powerpoint这些办公软件在我们的日常工作和生活中经常会用到,可以说是必不可少的。但你是否想过这些办公软件是否是安全的呢?是否存在安全隐患呢?事实上,利用微软Office文档的恶意攻击从未间断。据Atlas VPN公布的一项调查结果显示,2021年上半年发现的恶意代码中,43%包含在微软Office文档文件中。攻击者通过微软Office文档提供的宏等功能执行代码,并与命令和控制服务器通信,追加下载恶意文件或利用事先预制的代码生成程序,进行信息泄漏等恶意操作。
(图片来源:韩国安全新闻网站)
近期案例
最近发现的微软MSHTML引擎远程代码执行漏洞(CVE-2021-40444)就是通过微软Office文档运行的。如果攻击者伪造的微软Office文档文件被执行,攻击者将会安装并运行恶意的ActiveX控件进行攻击。自 8 月中旬以来,CVE-2021-40444 已被多个黑客组织利用。微软认识到这一点后,于 9 月 7 日发布了安全咨询和风险缓解措施,并于 9 月 14 日开始发布漏洞补丁。换句话说,这个漏洞被一些攻击者作为零日漏洞利用了大约一个月。
今年7月,一个伪装成贸易交易的Excel文件通过电子邮件进行传播,在执行该文件中包含的宏时,就会感染“Remcos RAT”恶意代码,导致键盘输入记录和网页浏览器用户账户信息等被盗。8月份,一份伪装成贸易交易的PowerPoint文件在网络间流传。如果在运行文件后激活宏,就会将用户强行连接到一个恶意网站,并安装恶意代码,在访问该网站后,攻击者就会执行泄露用户信息等各种恶意行为。
什么是无文件恶意软件?
这种恶意利用宏等软件正常功能的方式被称为“无文件恶意软件攻击(Fileless Malware Attack)”。 究竟什么是无文件恶意软件?首先需要明确的是,无文件恶意软件其实有时候也是需要使用文件的,只是平常它们都处于隐身状态。最初的无文件恶意软件指的就是那些不使用本地持久化技术或者完全驻留在内存之中的恶意代码,但后期这个概念的范围逐渐扩大,演变至今,通常会将那些传统杀毒软件无法识别的,依赖于文件系统的某些功能来实现恶意代码激活和驻留的恶意软件也称作是无文件恶意软件。
就像微软Office文档文件中,除了为执行恶意行为而配置的宏外,文档文件本身并没有问题,而且这些功能是通过微软的Word、Excel、Powerpoint等正常软件执行的,因此通常情况下不会被杀毒软件等基于明显标识特征的安全产品所发现。
攻击者为什么使用无文件恶意软件?
在此之前,我们要明白黑客攻击的目的是什么。首先是攻击者需要隐形,尽可能避免被安全产品检测到;其次,就是利用漏洞进行特权升级,使自己能够以管理员的身份访问系统,做任何他们想要的;再次就是信息收集,尽可能收集有关受害者和受害者计算机的数据,用于后续其他攻击或金钱勒索;最后,就是持久性,即在系统中保持恶意软件的能力,延长被发现的时间。
经过观察分析我们发现,无文件恶意软件具有三大特点。一是隐性攻击:无文件恶意软件一般借助合法工具进驻内存来保持自己隐身,这就意味着它被安全软件检测到的概率大大降低;二是超强的生存能力:在默认的情况下,用户自身会安装用于无文件恶意软件的合法工具,攻击者无需创建或安装任何自定义工具即可使用它们,避免被发现的风险;三是受信任和经常被使用:这些工具大都是用户经常使用和信任的,出于合法目的,在日常工作和生活中运行无文件恶意软件中使用的工具并不罕见且用户对这些工具的警惕性不高。上述特点恰恰符合攻击者的需要,正因如此,无文件恶意软件成为攻击者所青睐的攻击手段。
微软Office软件开发人员也知道这些功能正在被恶意利用,并通过基本的安全设置来阻止宏的自动运行。 例如,您通过电子邮件等外部途径下载了微软Office 文档。当您打开文档时,它首先以“受保护的视图”状态打开。文档中包含的所有内容只能阅读,不能编辑。此外,即使您在这种情况下点击超级链接等,也只会出现警告信息,无法直接连接到该网站。如果用户判断该文件正常,则可以点击“编辑使用”按钮来编辑文件。
微软Office文档中的宏功能被阻止(图片来源:韩国安全新闻网站)
宏也是如此。如果执行包含宏的文件时,会显示“安全警告”的信息,同时阻止宏运行。宏是一种有用的功能,它可以帮助用户减少简单的重复操作、自动插入用户通常在文档中输入的基本内容或格式等。但是,网络攻击者通过“Sub Auto_open()”等宏指令,在用户运行宏时启动隐藏在文件中的代码。当然,就像前面提到的那样,默认情况下系统会阻止使用宏,并且在用户直接按下“使用内容”按钮运行宏之前,不会发生恶意行为。
无文件恶意软件是如何工作的?
网络攻击者在试图利用微软Office软件进行无文件攻击时,必须克服的障碍不是杀毒软件等安全产品,而是Office软件自身的安全功能。因为,即使恶意文档通过电子邮件被安全地储存在用户电脑中,除非运行宏,否则攻击者也无能为力。
因此,攻击者会使用各种巧妙的方法来诱骗用户运行宏。首先,攻击者将电子邮件正文中的附件伪装成报价单或发票等看似与业务相关且需要确认的信息,或者伪装成各种活动介绍及国际局势等特定领域从业人员所关注的内容来诱骗用户点击查看。不仅如此,攻击者还通过将知名门户网站的账户信息交易明细或政界、演艺圈的八卦新闻等设定为附件名称,这样即使不是相关领域的从业人员,用户也会出于好奇心而点击查看附件。
诱导用户点击使用内容的画面(图片来源:韩国安全新闻网站)
当用户打开查看附件文档时,由于宏运行被阻止,在首页上会显示诸如“请点击‘使用内容’按钮查看详细内容”或“请点击‘启用编辑’和‘使用内容’查看安全文档”之类的虚假信息。如果用户被这些短语所欺骗,解除了安全功能,就相当于自行打开大门,让攻击者侵入自己的电脑。
该如何防范无文件恶意软件攻击?
无文件恶意软件攻击乍一看似乎是致命的巧妙攻击,但是只要用户遵守基本的安全措施,就可以防止大多数的无文件恶意软件攻击。为预防损失,用户必须遵守△禁止点击来源不明的电子邮件中的附件△即使发件人是受信任的人或组织,也要重新确认电子邮件地址△禁止点击来源不明文档文件的“使用内容”或“包含宏”的按钮△使用最新版本的杀毒软件等安全措施。
尤其重要的是,及时更新杀毒软件,让用户电脑的杀毒软件始终保持最新版本。虽然杀毒软件无法检测到新创建的恶意文档,但安全公司的威胁情报专家们一直在努力阻止这种无文件恶意软件攻击,他们会将新发现的恶意文档信息尽快的更新到公司杀毒软件中去。