Microsoft Office中的宏仍被大量惡意軟件利用 是黑客的首選攻擊手段
責編:gltian |2018-09-14 13:24:31Microsoft Office內存損壞漏洞CVE-2017-11882是一個修補的Microsoft漏洞,允許攻擊者執行任意代碼執行。使用惡意Microsoft宏的攻擊,總是一種破壞目標計算機的流行方法,比以往任何時候都更具破壞性
這種經過驗證的方法背后隱藏著Microsoft Office內存損壞漏洞(CVE-2017-11882),這是一個允許攻擊者執行任意代碼執行的錯誤。在?Cofense情報部門周四發布的一份報告中,盡管自去年11月以來一直在修補,但它上個月仍有37%的惡意軟件針對該漏洞。
8月發現的剩余18%的惡意軟件主要由批處理腳本,PowerShell腳本和Microsoft Windows腳本組件(WSC)文件的下載程序組成(通常在游戲中出現)。
宏是一個主要問題
報告顯示,通過電子郵件發送的武器化Microsoft Office文檔保持其作為“傳遞機制”的強大保留。
當然,宏對于向端點提供惡意負載非常有意義,因為在提示時可以通過簡單的單擊鼠標來允許它們。并且,雖然默認情況下Microsoft在Microsoft Office中禁用它們,但是一些企業已將其打開,因此用戶可能沒有任何其他跡象表明任何問題。
“這使得啟動感染鏈的第一階段變得微不足道,這樣使用的宏是嵌入式Visual Basic腳本,通常用于促進下載或直接執行其他有效負載。”
大量針對宏的惡意軟件
研究人員發現雖然宏觀方法易于執行并且入門門檻極低,但是針對的惡意軟件包括最惡性的惡意軟件,包括Geodo(占觀察到的大多數宏觀交付有效載荷),Chanitor / Hancitor(第二大交付的有效載荷),AZORult和GandCrab?– 以及更多,如TrickBot。
“從簡單機器人到勒索軟件的不同類型惡意軟件的范圍表明,成熟和業余運營商都在使用這種車輛將有效載荷送到終端,”
已知的漏洞
該分析還發現,幾乎與宏一樣普遍,Microsoft Office公式編輯器組件中發現的CVE-2017-11882漏洞是用于傳遞惡意軟件的第二大使用的攻擊媒介。
“漏洞存在于公式編輯器組件中,當使用它時,它作為自己的進程運行(eqnedt32.exe),由于它的實現方式,它不支持數據執行保護(DEP)和地址空間布局隨機化(ASLR)。惡意文檔利用此漏洞執行命令。“
Microsoft Office內存損壞漏洞(CVE-2017-11882)正在被Osiris銀行木馬,FELIXROOT后門惡意軟件以及被濫用為間諜軟件(即Imminent Monitor)的合法工具所使用。
盡管新型文檔攻擊正在出現,目標是收件箱并且不需要宏來觸發感染鏈 – 盡管使用輕量級腳本的秘密方法正在增加,但目前,宏仍然是網絡犯罪分子手冊中的首選,同時還有投注在未打補丁的機器上。因此,基本的安全衛生目前仍然是用戶最好的第一道防線。
原文鏈接:https://threatpost.com/threatlist-microsoft-macros-remain-top-vector-for-malware-delivery/137428/