利用微软Office默认功能创建可自我复制的恶意软件

作者:星期二, 十一月 28, 20170
分享:

意大利安全研究员力诺·安东尼奥·布诺发现了一个安全漏洞,影响几乎所有版本的微软Office办公软件。根据布诺的发现,该漏洞可使黑客创建并散布基于宏的自复制恶意软件,其能隐藏在Word文档中。

布诺解释称,自复制恶意软件能让宏写出更多的宏。尽管不是什么新的威胁,微软也已经引入安全机制限制该恶意软件的功能,但布诺公布的漏洞还是能使攻击者很容易地避开微软的安全控制。

然而,10月17日,布诺尝试通知微软该漏洞情况时,微软并不认为这是一个安全问题。微软宣称,该功能本来就是这么设计的。但是,如今大受恶意攻击者喜爱的动态数据交换(DDE)功能,微软也是这么说的。

而且,该科技巨头还指出,最新的宏设置变动中,默认禁用所有外部及非受信宏。这会限制宏对Office VBA工程模型的默认访问。用户需点击“信任对VBA工程对象模型的访问”来手动启用外部宏。该设置让微软Office可以自动信任所有宏,不显示安全警告请求用户同意就能执行代码。

但是布诺发现,只需编辑Windows系统的注册表,就能启用或禁用该功能。这就可以在不通知用户或请求授权的情况下,让所有宏都具备写出更多宏的能力。最终,受害者暴露在所有基于宏的攻击之下,并经由与其他用户共享受感染文档,而无意识地传播了恶意软件。

趋势科技也在11月22日发布了一份报告(http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/),公告发现了一个基于宏的新自复制恶意软件,并将之称为“qkG”。令人惊讶的是,该恶意软件同样利用了微软Office的这个功能。

就在趋势科技的研究人员评估VirusTotal上越南用户上传的qkG样本时,他们意识到,该恶意软件看起来更像是一个实验项目或概念验证,而不是真正投入使用的恶意软件。报告还揭示,该qkG勒索软件利用了一项技术,可以在Word文档被关闭时执行恶意宏。该技术被称为“自动关闭”VBA宏。

qkG是扰乱某种文件类型的首款勒索软件,也是极少数以VBA宏编写的文件加密恶意软件。

与仅将宏用作勒索软件下载的常见勒索软件不同,qkG利用了恶意宏代码,这也是Locky勒索软件变种.lukitus所用的技术。两种勒索软件都在文档被关闭时执行恶意宏,但.lukitus宏代码不仅仅检索,还执行勒索软件,以加密目标设备上保存的目标文件。

qkG勒索软件的最新样本中包含有一个比特币地址,并附有简短的勒索信,要求支付价值300美元的比特币。进一步审查发现,该比特币地址目前尚未收到过任何一笔赎金,表明该勒索软件并未真正对用户下手,而且该勒索软件仍在使用默认硬编码口令:I’m QkG@PTM17! by TNA@MHT-TT2。

布诺发布了一段视频,演示他所发现漏洞的运作机制。视频中,我们可以看到含有恶意VBA代码的微软Word文档,是怎么被用来散布该多阶段自复制恶意软件的。

虽然该方法目前尚未被黑客实际使用,但只要他们真的用了,鉴于其利用的是合法Office功能,且主流杀毒软件都不会弹出警告或封锁基于VBA代码的Office文档,情况就真的很难应付了。微软也没有发布补丁降低该威胁影响的计划,因为微软就不认为这是个威胁。

因此,布诺提出了几个缓解该威胁的解决方案。比如,将AccessVBOM注册表键从HKCU移到HKLM,这样就只有系统管理员可以编辑该注册表键了。然后,在没验证发家的情况下,用户绝对不要点击邮件中收到的意外文档中的链接。

相关阅读

恶意软件Shamoon将文档变成攻击武器
恶意软件“八月”利用powershell进行无文件感染

 

分享:

相关文章

写一条评论

 

 

0条评论