在过去的几年中,我们一直在通过对象链接嵌入(OLE)/ Microsoft Office文件看到基于宏的攻击。但是,目前,攻击者正在使用一种不同的技术通过Office文件传播恶意软件-使用一种称为“动态数据交换( DDE )’。
DDE 是Microsoft Office授权的功能,它提供了几种在应用程序之间传输数据的方法。一旦建立了通讯协议,它就不会’需要用户交互才能在应用程序之间交换数据。 DDE feature is not limited to Word and Excel document but it includes RTF and Outlook also.
技术细节
攻击始于带有附件的恶意文档文件的垃圾邮件,如图1所示。
微软Word application i.e., ‘winword.exe’ 打开此附件 并运行DDE代码。它 抛出一个 用户 提示哪个 说 那 这个文件 包含一些链接 可能 参考 从其他文件中获取数据。图2显示 这个提示。
如果用户选择 是 , 显示另一个用户提示,其中显示了远程数据执行信息。在这里,如果用户选择 是 , 攻击将会成功。
图3显示了有关远程数据的信息(此情况可能因情况而异)。
在这两个用户提示中,如果用户选择 没有 , 攻击将失败。
带有DDE代码的恶意软件将使用PowerShell和其他代码作为参数执行``cmd.exe''。 PowerShell将在后台下载有效负载并以静默方式执行。有效负载可能包含任何类型的恶意软件。图4显示了一种DDE代码。
为了逃避基于签名的检测,恶意软件作者使用了不同的混淆技术,包括以下技术:
混淆技术1
将DDE和PowerShell代码拆分为不同的标签。
混淆技术2
使用base64编码的PowerShell代码。
混淆技术3
具有各自字符的整数值的已编码PowerShell代码。
解码后 上面的代码版本:
基于DDE的办公室恶意软件攻击技术对于攻击者而言非常简单。我们怀疑这种趋势将在未来被恶意软件作者发现。
预防 m 放心
- 请考虑在不使用时禁用DDE。
- 要通过用户界面禁用DDE功能:设置文件-> Options -> Trust Center ->信任中心设置-> External Content ->Workbook链接的安全设置=禁用Workbook链接的自动更新。
- 请勿下载/打开来自垃圾邮件或非预期垃圾邮件的附件。
- 为您的操作系统应用所有建议的安全更新和补丁。
指标 c承诺:
53c1d68242de77940a0011d7d108c098
106776A1A0F1F15E17C06C23CBFE550E
31362967C1BFE285DDC5C3AB27CDC62D
主题专家
- 阿尼鲁达(Aniruddha Dolas),普拉尚特快速修复安全实验室
没意见