Excel文档暗藏危机?黑客利用.NET库生成恶意文件可绕过安全检测
Excel文档是十分常见的办公软件,一旦被黑客盯上,足以让大批量的用户中招。用相同的Excel文档混淆用户视线,表面“波澜不惊”,实则“暗藏危机”。
近期,NVISO Labs的安全研究人员发现一个新型恶意软件团伙利用一个新技术生成Excel文件,无需使用Microsoft Office即可创建包含大量宏的Excel工作簿,这些恶意Excel文件比较难被检测到,可绕过系统的安全检测。
该恶意组织团伙名为“Epic Manchego”,自6月起,一直有所动作,主要活动是在世界范围内,向企业发送带有恶意Excel的网络钓鱼邮件。
这些Excel文件暗藏“猫腻”,不是人们使用的常规的表格文件,它们可绕过安全扫描程序,检测率较低。
恶意表格文件由EPPlus编译
这些恶意Excel文件也是“出身不凡”,它们并不是在常规的Microsoft Office软件中编译的,而是在带有EPPlus的.NET库中编译的。开发人员会使用该库来添加“导出为Excel”或“另存为电子表格”的功能,简单来说,可用来生成多种电子表格格式的文件,甚至支持Excel 2019。
“当我们注意到恶意文件没有经过编译的代码,并且也缺少Office元数据时,我们很快想到了EPPlus。该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。
Epic Manchego利用该库中的EPPlus来生成Office Open XML(OOXML)格式的电子表格文件。Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码专门用于在Microsoft专有Office软件中编译的Excel文档。
OOXML文件格式是一种开放包装约定(OPC)格式:一种ZIP容器,主要包含XML文件,可能还包含二进制文件。它最初是由Microsoft在Office 2007发行版中引入的。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。
使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。EPPlus没有创建编译代码的方法:创建编译VBA代码的算法是Microsoft专有的。
杀毒软件则是通过查找VBA代码这一部分来实现恶意Excel文件检测功能,由此可以解释为什么Epic Manchego生成的恶意Excel文件检测率低于其他恶意Excel文件了。
已编译的VBA代码可以存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码,该格式也受到密码保护,以防止安全系统和研究人员分析其内容。
尽管生成恶意Excel的文件的方式不同,但是由EPPlus生成的电子表格仍然可以像正常Excel文档那样工作。这让用户很难辨别和发现Excel表格的异样了。
自6月起,该恶意文档的运营商开始活跃,其中包含恶意宏脚本。如果打开Excel文件的用户允许执行脚本(通过单击“启用编辑”按钮),那么宏将在目标用户的系统中下载并安装恶意软件。
下载的恶意程序大多是那些经典的窃密木马,比如Azorult、AgentTesla、Formbook、Matiex、和njRat,这些木马程序可以将用户浏览器、电子邮件和FTP客户端的密码转储,并将这些发送到Epic Manchego的服务器中。
安全研究团队NVISO表示,他们发现了200多个链接到Epic Manchego的恶意Excel文件,第一个可追溯到今年6月22日。
修复建议
- 过滤电子邮件附件和从组织外部发送的电子邮件;
- 实施功能强大的端点检测和响应防御;
- 增强网络钓鱼意识培训并执行网络钓鱼练习。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
如何将边缘计算与核心系统集成
让边缘计算设备与核心企业IT系统协同工作有五个关键挑战,以及应对这些挑战的几种方法。 从现在到2025年,边缘计算市场预计将以19.9%的复合年增长率(CAGR)增长。许多公司正在把物联网部署到企业的边缘、家庭和现场。这些设备可以发送、接收和处理数据,下一波部署很可能会关注如何从物联网中获取和处理具有商业价值的数据。 在某些情况下,物联网将能够独立接收、处理甚至存储数据。在其他情况下,它需要与其他核心企业系统合作共享数据,以支持人工智能和分析等技术。 无论公司为其edge/IoT和集中核心计算开发的IT架构如何,能够集成所有这些数据源以获得业务结果将是一个重要的重点。 边缘核心集成挑战 对于IT来说,集成边缘计算和核心计算有五个关键挑战。 1)边缘(尤其是物联网)数据过载 IDC预计,到2025年,将有416亿台联网物联网设备产生794兆字节(ZB)的数据。并不是所有这些数据对公司都有用,而且公司也无力管理所有这些数据。 基础设施资产管理公司Yotta的首席技术官ManishJethwa在一次公开的采访中说:“企业面临被物联网数据淹没的风险,这些数据对企业几乎没有价值。”。“如果不清楚...
- 下一篇
你的手机被秘密监听?Facebook监听的不是谈话而是想法
本文转载自公众号“读芯术”(ID:AI_Discovery)。 这是我的亲身经历:几个月前的一天,我想邀请朋友们在家吃晚饭。一位客人正在进行酮基饮食(高脂肪低碳水,主要是肉类和奶酪),他建议我吃白�雒妗K淙晃乙膊恢�道吃什么,但这听起来不是个好建议。另一位客人是素食主义者,肉、鱼、蛋和奶酪都不能吃。我嘟囔着酮基饮食的恶评,最后,我们去了一家餐馆。 那天晚饭后,当我在Twitter上随意浏览时,突然弹出了一则关于酮基饮食的广告。我以前从未对节食有过丝毫的兴趣。一个念头突然出现了:Facebook和Twitter是否在暗中窃听我的谈话? 我想象着,扎克伯格戴着一个耳机,像吉恩·哈克曼(Gene hackman)一样在暗处决定要推送给我的广告。 手机有耳朵,笔记本电脑有眼睛 坦率地说,我的结论是:不是的,手机并没有在偷偷监听我们。很多方面表明Twitter和Facebook做不到这一点。 当开发者为iOS编写应用程序时,它会在苹果控制的操作系统上运行。Facebook不能直接访问麦克风并开始录音,该应用必须通过苹果编写的代码。当Facebook请求音频时,苹果会询问用户是否允许Faceboo...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装