【安全资讯】Zloader恶意软件新功能可禁用office宏警告

安恒情报中心 2021-07-14 05:18:24 2665人浏览

引言

近日,研究人员发现 Zloader恶意软件使用新技术进行传播,其可以在垃圾邮件附件宏中没有任何恶意代码的情况下,下载和执行恶意DLL文件。


简况

初始的攻击向量是一个含有微软word附件的钓鱼邮件。打开该word附件后,就会从远程服务器下载一个密码保护的Excel文件。

Word文件的VBA会读取下载的XLS文件的单元格内容,并以宏的形式写入XLS VBA。

宏写入下载的XLS文件后,word文件就会在注册表中设置策略来禁用Excel宏警告,并从Excel文件中动态调用宏函数。

结果就是下载最终的zloader payload。然后,zloader payload通过rundll32.exe动态执行。



恶意软件会通过含有word附件的钓鱼邮件传输。Word文件打开且宏启用时,word文件就会下载和打开另一个有密码保护的Excel文件。在下载XLS文件后,word VBA会从XLS中读取单元格内容,为该xls文件创建一个新的宏,并将单元格内容写入xls VBA宏。


宏写入后,word文档就会在注册表中设置策略来禁用Excel宏警告,并从Excel文件中调用恶意宏函数。然后,Excel文件就会下载zloader payload。然后,Zloader payload就会用rundll32.eze执行。



感染流程图


结论

恶意文档一直是大多数恶意软件的切入点,这些攻击一直在改进其感染技术和混淆方法,不仅限于从 VBA 直接下载有效负载,出于安全考虑,Microsoft Office 应用程序中默认禁用宏。建议仅当收到的文档来自可信来源时启用它们是安全的。

失陷指标(IOC)3
Zloader 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。