欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

Microsoft Excel的标准文件加密功能可用于混淆和传播恶意软件

e6e9fdb1a932f3282020-04-0747Web安全

Mimecast威胁中心的研究人员发现,使用Microsoft Excel电子表格的VelvetSweatshop默认密码的LimeRAT恶意软件传播有所增加。这项新研究表明,将Excel文件设置为只读(而不是锁定)即可以在不需要外部创建的密码打开文件的情况下对其进行加密,从而更容易欺骗受害者安装恶意软件。

VelvetSweatshop如何为恶意软件传播铺平道路

Microsoft Office文件是电子邮件传播的恶意软件中最流行的一些文件格式,目前可以打开和运行这些文件的Microsoft Office应用程序得到了广泛的部署,这些文件很容易被更改,从而避免基于文件签名的简单检测,这些应用程序都是宏观启用的,可以简化自定义代码的运行,并通过电子邮件定期传播。不过这都依赖一个前提,就是用户会对通过电子邮件收到发票或财务电子表格附件习以为常,换句话说就是,经常接收此类附件,从而产生安全意识的松懈。

然而,易用性和广泛部署也有其缺点。这种受欢迎的程度意味着,利用Excel文件已经成为网络罪犯的标准攻击武器库的一部分已经有很长一段时间了,而接收受密码保护的Excel文件也是一种标准的业务惯例,因为它提供了有趣或敏感的内容。

Excel文件的设计易于在发送电子邮件之前进行加密,从而帮助攻击者逃避了常见恶意软件检测系统的检测。使用密码锁定Excel文件时,用户将使用密码作为加密/解密密钥来加密整个文件。要打开文件,目标受害者需要相同的密码。当受害者在社交工程邮件中收到加密的附件时,受害者被鼓励使用钓鱼邮件中包含的密码来打开附件文件。就这样,攻击者被攻击了。

但是,如果攻击者可以传递一个恶意的、加密的Excel文件,而不需要目标受害者做任何事情,而只是打开附加的文件,那该怎么办呢?跳过需要鼓励他们插入密码的部分——通过所有网络防御。只需双击文件就可以实现此目的。

要解密给定的加密Excel文件,Excel首先尝试使用嵌入的默认密码“VelvetSweatshop”来解密和打开文件,并运行任何内置宏或其他潜在的恶意代码,同时保持文件只读。如果它不能使用“VelvestSweatshop”密码解密文件,Excel将请求用户输入密码,如下图所示。对于攻击者来说,Excel的只读模式的优点是它不需要用户输入,而且Microsoft Office系统除了指出文件是只读的外,不会生成任何警告对话框。使用这种只读技术,攻击者可以获得文件加密带来的混淆好处,而不需要从用户那里获得任何东西,从而消除了攻击者想要利用的目标所需要的一个步骤。

Microsoft Excel的标准文件加密功能可用于混淆和传播恶意软件  Web安全 第1张

如上图所示,攻击者需要密码才能访问一个锁定的Excel文件。

Guildma银行木马:攻击者实现的技术创新

一、概述 在本文中,我们将主要分析Guildma(也称为Astaroth)——一个非常流行的拉丁美洲银行木马。该木马是使用Delphi编写,主要针对巴西为目标,其中使用了一些具有创新性的执行和攻击技术。我们在本文中将分析该木马的最新版本,重点说明自2019年年中Guildma相关的恶意活动与该木马的显著变化。 二、特点 Guildma是专门针对巴西的拉丁美洲银行木马。根据我们的遥测技术,结合该木马所受到的广泛关注,我们认为它是该地区最具影响力和最为先进的银行木马。除了针对金融机构之外,Guildma还尝试窃取电子邮件帐户、电子商店和流媒体服务的凭据,这一点与其他拉丁美洲银行木马一样,但Guildma的受害者人数至少是其他银行木马的十倍。该木马使用了创新性的执行方法和复杂的攻击技术。 与我们先前描述的拉丁

LimeRAT恶意软件已经在野外被利用

最近,Mimecast威胁情报的研究人员发现了一个利用Excel VelvetSweatshop加密技术发送LimeRAT的活动,这是一个恶意的远程访问木马。在这次特定的攻击中,网络罪犯还混合使用了其他技术,试图通过加密电子表格的内容来欺骗反恶意软件系统,从而隐藏漏洞和有效载荷。

一旦LimeRAT登陆,攻击者就可以轻松掌握许多攻击功能,包括提供勒索软件、加密程序,键盘记录程序或创建木马客户端。

当然,考虑到这种基于Excel的恶意软件传播技术固有的一般功能,任何类型的恶意软件都可以很好地进行传播,因此Mimecast的研究人员希望在未来将其用于更多的恶意网络钓鱼活动中。

如何保护组织免受有效载荷恶意软件的攻击

鉴于Microsoft Excel电子表格的普及和易用性,LimeRAT恶意软件的VelvetSweatshop技术可能被证明特别危险。所以请遵循以下步骤来缓解攻击风险:

1.仔细检查所有收到的邮件,特别是那些带有文件附件的邮件。虽然这种攻击技术减少了用户参与的需要,但并没有完全排出用户的需要,因为受害者仍然需要打开文件。

2.使用电子邮件安全系统与先进的恶意软件保护功能,旨在包括静态文件分析和沙箱,以在传播之前过滤掉这些恶意电子邮件。

3.随时监控你的网络流量,以追踪可能的命令和控制服务的出站连接。

4.不断更新你的终端安全系统,以增加检测恶意软件在主机上加载或运行的可能性。

本文翻译自:https://www.mimecast.com/blog/2020/03/velvetsweatshop-microsoft-excel-spreadsheet-encryption-rises-again-to-deliver-limerat-malware/