網(wǎng)絡(luò)安全公司Lastline2017年12月初發(fā)現(xiàn)一種利用Office Excel表格的新型攻擊技術(shù)，且最近剛擴(kuò)展到其它Office應(yīng)用程序。研究人員發(fā)現(xiàn)一種新型惡意Office Excel文件，該文件可以下載并執(zhí)行惡意軟件，但該文件中并無宏、shellcode或者DDE代碼的蛛絲馬跡。且當(dāng)研究人員提交文件到Virustotal(提供免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站)上掃描后，只有三款反病毒軟件將其定義為惡意，因此這是一種針對Excel表格的新型攻擊技術(shù)。

攻擊與Payload

當(dāng)用戶打開這個(gè)Excel文件時(shí)，會彈出一個(gè)對話框，提示“需要更新工作簿(workbook)中的外部鏈接”。

外部鏈接(external links)

是微軟Office的一個(gè)功能，作者可以通過外部資源鏈接來共享Office文檔，無需將這些資源直接嵌入文檔中，這樣可以使整個(gè)文檔的體積更小，更新起來也更加靈活。

從這個(gè)角度來看，這種攻擊看起來與DDE攻擊方法非常類似，DDE攻擊是最近比較流行的Office文件利用技術(shù)，通過微軟的動態(tài)數(shù)據(jù)交換(Dynamic Data Exchange)功能來執(zhí)行外部代碼。

一旦用戶同意更新鏈接，該文檔就會立即創(chuàng)建cmd/PowerShell進(jìn)程，該進(jìn)程會下載并執(zhí)行下一階段載荷(exe文件)：執(zhí)行惡意軟件。

鑒于只有三款軟件檢測到此類攻擊，因此哪怕掃描到Excel感染也被認(rèn)為是誤報(bào)，可能不會進(jìn)一步調(diào)查或予以補(bǔ)救。研究人員確認(rèn)后發(fā)現(xiàn)，Excel腳本程序傳送的Payload為Loki(一款臭名昭著的“憑證竊取”惡意軟件)。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

對于大多數(shù)安全響應(yīng)團(tuán)隊(duì)而言，這是雙重打擊。首先，低檢測率會讓安全團(tuán)隊(duì)以為是誤報(bào)。其次，即使他們發(fā)現(xiàn)了Loki，緩解方式常常被錯(cuò)誤執(zhí)行。當(dāng)后續(xù)的威脅攻擊者使用泄露的憑證取得未經(jīng)授權(quán)的訪問權(quán)并試圖橫向移動時(shí)，受害者容易遭遇二次“無惡意軟件”攻擊。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

研究人員 12月10日將該惡意Excel腳本程序提交到Virustotal掃描，60款反病毒工具中有12款軟件將其檢測為威脅。日志追蹤后發(fā)現(xiàn)名為“_output23476823784.exe”的文件，約50%的檢測引擎將該文件識別為惡意文件。

絕大多數(shù)反病毒軟件將_output23476823784.exe Payload標(biāo)記為木馬，這表明它是一個(gè)Trojan.Generic Payload。

此Payload的真身：Loki Bot

行為智能(Behavioral Intelligence)進(jìn)一步將存疑的Payload識別為Loki bot。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

圖：Loki在黑市的廣告宣傳

Loki的宣傳視頻顯示，它能捕獲各種應(yīng)用程序的憑證，尤其FireFox(47%的被盜憑證)和Chrome(41%)，Windows和電子郵件憑證僅占1%-3%。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

一旦竊取了受害者的憑證，Loki會顯示易遭遇身份盜竊攻擊的網(wǎng)站，包括社交媒體網(wǎng)站、支付門戶網(wǎng)站、比特幣錢包，甚至一個(gè)摩洛哥政府登錄頁面。

惡意軟件LokiBot

2017年11月，由“BankBot”演變而來的惡意軟件“LokiBot”，被稱為是首個(gè)“變形金剛”式的Android 惡意軟件，因?yàn)榕c其他銀行劫持木馬相比“LokiBot”具備其獨(dú)特功能，可以根據(jù)不同目標(biāo)環(huán)境發(fā)起相應(yīng)攻擊，比如主動向用戶設(shè)備發(fā)起界面劫持、加密用戶設(shè)備數(shù)據(jù)，勒索欺詐用戶錢財(cái)、建立socks5代理和SSH隧道，進(jìn)行企業(yè)內(nèi)網(wǎng)數(shù)據(jù)滲透。

“LokiBot”傳播途徑通過惡意網(wǎng)站推送虛假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等應(yīng)用更新，誘導(dǎo)用戶安裝。