事件報(bào)道

　　根據(jù)安全專(zhuān)家的最新發(fā)現(xiàn)，Microsoft Excel的舊用戶(hù)正成為惡意軟件的攻擊目標(biāo)。這種惡意軟件攻擊活動(dòng)使用了一種新的惡意軟件混淆技術(shù)來(lái)禁用Microsoft Office的安全防御機(jī)制，然后傳播和感染Zloader木馬病毒。

　　根據(jù)McAfee周四發(fā)表的研究報(bào)告，這次攻擊結(jié)合了Microsoft Office Word和Excel中的功能，以共同下載Zloader Payload，而且不會(huì)在終端觸發(fā)惡意攻擊警報(bào)。

　　Zloader是一種針對(duì)銀行的特洛伊木馬，旨在竊取目標(biāo)金融機(jī)構(gòu)用戶(hù)的憑據(jù)和其他私人信息。

　　Zloader的初始攻擊向量是基于收件箱的網(wǎng)絡(luò)釣魚(yú)消息，其中會(huì)附帶Word文檔附件，并包含非惡意的代碼。因此，它通常不會(huì)觸發(fā)電子郵件網(wǎng)關(guān)或客戶(hù)端防病毒軟件來(lái)阻止攻擊。

　　同時(shí)，Zloader的宏混淆技術(shù)利用Microsoft Office的Excel動(dòng)態(tài)數(shù)據(jù)交換（DDE）字段和基于Windows的Visual Basic for Applications（VBA）對(duì)支持傳統(tǒng)XLS格式的系統(tǒng)發(fā)起攻擊。

　　初始感染鏈

　　研究人員通過(guò)分析后發(fā)現(xiàn)，惡意軟件首先通過(guò)包含Microsoft Word文檔作為附件的網(wǎng)絡(luò)釣魚(yú)電子郵件抵達(dá)目標(biāo)用戶(hù)的主機(jī)系統(tǒng)。當(dāng)用戶(hù)打開(kāi)文檔并啟用宏功能時(shí)，Word文檔就會(huì)下載并打開(kāi)另一個(gè)受密碼保護(hù)的Microsoft Excel文檔。

　　接下來(lái)，嵌入Word文檔中的基于VBA的指令會(huì)讀取精心構(gòu)建的Excel電子表格單元以創(chuàng)建宏。這個(gè)宏將使用附加的VBA宏填充同一XLS文檔中的附加單元格，從而禁用Office的安全防御功能。

　　一旦宏被寫(xiě)入并準(zhǔn)備就緒，Word文檔就會(huì)將注冊(cè)表中的策略設(shè)置為“禁用Excel宏警告”，并從Excel文件中調(diào)用惡意宏函數(shù)。此時(shí)，Excel文件將會(huì)下載Zloader Payload，并通過(guò)rundll32.exe執(zhí)行Zloader Payload。

　　混淆機(jī)制分析

　　由于Microsoft Office會(huì)自動(dòng)禁用宏功能，因此攻擊者會(huì)試圖用出現(xiàn)在Word文檔中的消息欺騙目標(biāo)用戶(hù)以啟用宏功能。

　　消息中會(huì)提醒用戶(hù)：“此文檔是在以前版本的Microsoft Office Word中創(chuàng)建的。若要查看或編輯此文檔，請(qǐng)單擊頂部欄上的”啟用編輯“按鈕，然后單擊”啟用內(nèi)容“?！?/p>

　　攻擊者可以利用DDE和VBA來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)，而這兩個(gè)功能是標(biāo)準(zhǔn)的微軟工具隨Windows系統(tǒng)提供。

　　DDE是一種在應(yīng)用程序（如Excel和Word）之間傳輸數(shù)據(jù)的方法。對(duì)于Zloader，惡意軟件會(huì)使用Word中的信息更新電子表格單元格的內(nèi)容。Word文檔可以讀取下載的。XLS文件中特定Excel單元格的內(nèi)容，然后使用基于Word的VBA指令填充Excel文檔。

　　而VBA則是微軟用于Excel、Word和其他Office程序的編程語(yǔ)言，VBA允許用戶(hù)使用宏記錄器工具創(chuàng)建命令字符串。在這種情況下，與VBA的其他濫用案例一樣，Zloader也會(huì)利用這種功能來(lái)創(chuàng)建惡意宏腳本。

　　Excel將記錄用戶(hù)執(zhí)行的所有步驟，并將其保存為一個(gè)名為“process”的宏。當(dāng)用戶(hù)停止操作之后，這個(gè)宏將會(huì)被保存下來(lái)，并且會(huì)被分配給一個(gè)按鈕，當(dāng)用戶(hù)點(diǎn)擊這個(gè)按鈕時(shí)，它會(huì)再次運(yùn)行完全相同的過(guò)程。

　　禁用Excel宏警告

　　惡意軟件的開(kāi)發(fā)人員通過(guò)在Word文檔中嵌入指令，從Excel單元格中提取內(nèi)容，實(shí)現(xiàn)了警告繞過(guò)。接下來(lái)，Word文件會(huì)通過(guò)寫(xiě)入檢索到的內(nèi)容，在下載的Excel文件中創(chuàng)建一個(gè)新的VBA模塊。

　　一旦Excel宏被創(chuàng)建并準(zhǔn)備好執(zhí)行，腳本將修改Windows的注冊(cè)表鍵以禁用受害者計(jì)算機(jī)上VBA的信任訪(fǎng)問(wèn)。這使得腳本能夠無(wú)縫地執(zhí)行功能，而不會(huì)彈出任何的警告。

　　在禁用信任訪(fǎng)問(wèn)后，惡意軟件將創(chuàng)建并執(zhí)行一個(gè)新的Excel VBA，然后觸發(fā)Zloader的下載行為。

　　毫無(wú)疑問(wèn)，惡意文檔一直是大多數(shù)惡意軟件家族的初始感染入口，這些攻擊也在不斷演變和升級(jí)其感染技術(shù)以及混淆技術(shù)。因此，我們建議廣大用戶(hù)，僅當(dāng)接收到的文檔來(lái)自可信來(lái)源時(shí)才啟用宏功能，這樣才是安全的。