​不使用宏的情况 Multi-Stage Word 也可让用户中马

2018 年 2 月 19 日 黑白之道 华盟翻译


垃圾邮件发布者正在使用一种新技术来感染用户中的恶意软件,虽然此攻击依赖于用户打开Word文档,但它并不涉及用户必须允许执行宏脚本。

这种新的无宏技术目前正在积极开发之中,Trustwave SpiderLabs的研究人员正在进行恶意软件活动。

该公司表示,骗子正在使用这种多阶段,无宏技术来通过密码窃取器感染用户。目前,有证据表明,只有一个组织正在使用这种新颖的技巧,尽管这肯定会被其他人采用。

新技术的开发链

下面详细介绍实际的开发链,并依赖大量资源,如DOCX,RTF,HTA,VBScript和PowerShell。

victim受害者收到带有DOCX文件附件的垃圾邮件。
⏩受害者下载并打开DOCX文件。
⏩DOCX文件包含嵌入的OLE对象。
⏩OLE对象下载并打开RTF(伪装成DOC)文件。
⏩DOC文件使用CVE-2017-11882 Office公式编辑器漏洞
⏩利用代码运行MSHTA命令行。
⏩MSHTA命令行下载并运行HTA文件。
⏩HTA文件包含解压缩PowerShell脚本的VBScript。
⏩PowerShell脚本下载并安装密码窃取程序。
⏩恶意软件窃取浏览器,电子邮件和FTP客户端的密码。
⏩恶意软件将数据上传到远程服务器。

Trustwave表示,它看到这种攻击方式是通过电子邮件发送恶意文件


TNT STATEMENT OF ACCOUNT – {random numbers}...............

Request for Quotation (RFQ) - < {random numbers} >

Telex Transfer Notification

SWIFT COPY FOR BALANCE PAYMENT


如果用户以某种方式破坏这项新技术的开发链,这是保持安全的唯一方法。最简单的方法是让Windows和Office保持最新状态。

微软在2018年1月发布的Patch Tuesday安全更新中包含了一个补丁,该补丁删除了部分公式编辑器的功能以缓解CVE-2017-11882。

详细介绍这一新攻击Trustwave报告中提供了国际石油公司



华明君,提示:尽快打补丁吧!



你可能喜欢

CVE-2017-11882利用大全



登录查看更多
0

相关内容

【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
零样本文本分类,Zero-Shot Learning for Text Classification
专知会员服务
95+阅读 · 2020年5月31日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
MIT新书《强化学习与最优控制》
专知会员服务
275+阅读 · 2019年10月9日
支持多标签页的Windows终端:Fluent 终端
Python程序员
7+阅读 · 2019年4月15日
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
Github项目推荐 | pikepdf - Python的PDF读写库
AI研习社
9+阅读 · 2019年3月29日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
抖音爬虫
专知
3+阅读 · 2019年2月11日
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
已删除
AI科技评论
4+阅读 · 2018年8月12日
终于!TensorFlow引入了动态图机制Eager Execution
机器之心
4+阅读 · 2017年11月1日
Arxiv
5+阅读 · 2019年10月31日
Few Shot Learning with Simplex
Arxiv
5+阅读 · 2018年7月27日
Arxiv
5+阅读 · 2018年1月18日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
零样本文本分类,Zero-Shot Learning for Text Classification
专知会员服务
95+阅读 · 2020年5月31日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
MIT新书《强化学习与最优控制》
专知会员服务
275+阅读 · 2019年10月9日
相关资讯
支持多标签页的Windows终端:Fluent 终端
Python程序员
7+阅读 · 2019年4月15日
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
Github项目推荐 | pikepdf - Python的PDF读写库
AI研习社
9+阅读 · 2019年3月29日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
抖音爬虫
专知
3+阅读 · 2019年2月11日
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
已删除
AI科技评论
4+阅读 · 2018年8月12日
终于!TensorFlow引入了动态图机制Eager Execution
机器之心
4+阅读 · 2017年11月1日
相关论文
Top
微信扫码咨询专知VIP会员