最常见和有效的感染向量之一,尤其是对于企业而言,是使用恶意办公文件。必威官网多少仅今年的一年,我们目睹了两个零日子闪光VBScript引擎,在获得Web利用工具包中更广泛的采用之前,最初是真正嵌入到办公室文件中的。

除了利用软件漏洞外,攻击者还定期滥用正常的办公室功能,例如宏或更晦涩的办公室功能动态数据交换(DDE),当然还有对象链接和嵌入(OLE)攻击,也可以是与漏洞混合。系统管理员可以通过禁用公司范围内的某些功能来加强端点,例如挫败某些试图欺骗用户启用恶意宏的社会工程方案。在最近的办公室版本中,Microsoft还基于可以通过组策略自定义的扩展名列表来阻止被认为是高风险的对象的激活。

但是最近的发现由安全研究人员马特·尼尔森,表明可以将另一个感染向量挖掘为一个绕过当前保护设置甚至Microsoft的新的。攻击表面减少技术。通过将专门制作的设置文件嵌入到办公室文档中,攻击者可以欺骗用户在没有任何警告或通知的情况下运行恶意代码。

文件格式,特定于Windows 10.settingcontent.ms,本质上是用于为控制面板创建快捷方式的XML代码。可以滥用此功能,因为它的一个元素(DeepLink)允许执行具有参数的任何二进制文件。攻击者需要做的就是使用powershell.exe或cmd.exe添加自己的命令。剩下的就是历史。

一个新脚本由尼克·卡尔(Nick Carr)找到显示一个攻击,其中PowerShell被调用以下载和执行REMCOS RAT(VT报告)。根据马特·尼尔森(Matt Nelson)的说法,谁发现了这种新技术,微软至少暂时不会修复它。

我们在实验室测试了该样本,很高兴地报告必威平台APP用户已经受到保护:

在过去的几年中,虽然几乎没有发展Web利用套件,文档利用套件有很多活动,例如Microsoft Word Intuder(MWI)或螺纹套件。这些工具包允许攻击者制作诱饵并嵌入他们选择的利用,然后长矛网上钓鱼受害者或通过较大的垃圾邮件活动发送文件。同时,看来经典的社会工程攻击不会很快发生,并且会继续利用人类元素。

对于最终用户和企业而言,重要的是要认识到文档是理想的恶意软件交付矢量,并且需要适当的保护和培训才能抵抗。