根據(jù)微軟2016年威脅情報(bào)報(bào)告，98%的Office目標(biāo)威脅使用宏來實(shí)現(xiàn)的。那么，難道我們就只專注于檢測利用宏的威脅嗎？當(dāng)然不是，攻擊者都在不斷創(chuàng)新。找到繞過現(xiàn)有安全解決方案的方法，并使惡意軟件易于執(zhí)行，是攻擊者的首要任務(wù)。利用漏洞實(shí)現(xiàn)代碼執(zhí)行是一種很好的方法，但對于大多數(shù)攻擊者來說，它們的實(shí)現(xiàn)技術(shù)太高，而且成本太高。較不常見的文件類型提供了便于攻擊者使用的傳遞方法，不需要受害者采取太多的行動(dòng)，也可以逃避檢測。

如果文件類型尚未被惡意軟件廣泛使用，那么很有可能安全產(chǎn)品對正確分析文件類型的支持有限。為此，可以利用一些很少使用的Office文件類型和特性來實(shí)現(xiàn)此目的。在這篇博文中，我們將重點(diǎn)介紹一些技術(shù)，這些技術(shù)使用了大多數(shù)被遺忘的特性來通過Microsoft Office提供惡意軟件。

4種通過Microsoft Office提供惡意軟件的技術(shù)

除了常見的VBA和利用漏洞的方式之外，Office還支持文件類型，這些文件類型大多被遺忘，通常不會(huì)在正常環(huán)境中使用。如果Excel支持該文件類型(例如，IQY、SLK)，它將在Windows中顯示一個(gè)熟悉的Excel圖標(biāo)，從而降低受害者變得可疑，并更有可能打開該文件的可能性。使用Excel打開后，使用DDE(DynamicDataExchange，動(dòng)態(tài)數(shù)據(jù)交換)協(xié)議，如果在受害者的計(jì)算機(jī)上啟用，可以輕松執(zhí)行代碼。

使用對象鏈接和嵌入(ObjectLinkandEmbedded，OLE)是利用Windows支持的文件類型感染用戶計(jì)算機(jī)的一種常見技術(shù)。讓受害者打開Word文檔要比直接讓可執(zhí)行文件更容易。攻擊者面臨的問題是Office 2016默認(rèn)阻止某些文件擴(kuò)展名的執(zhí)行。安全研究員MattNelson發(fā)現(xiàn)了一種文件類型-SettingContent-MS-它可以執(zhí)行代碼，但不在Office實(shí)現(xiàn)的阻止執(zhí)行黑名單中，因此不會(huì)像OLE那樣被阻止執(zhí)行。

另一種濫用Office功能的方法是使用Word或Excel的，眾所周知但很少使用的啟動(dòng)路徑。如果支持的文件放置在此文件夾中，則將在應(yīng)用程序下一次啟動(dòng)時(shí)自動(dòng)打開該文件。

1）IQY-Excel Web查詢

2）SLK-符號鏈接

3）啟動(dòng)路徑

4）嵌入式設(shè)置內(nèi)容

現(xiàn)在，讓我們來看看利用這些投遞技術(shù)的四個(gè)示例。

IQY-Excel Web查詢

查看VMRayAnalyzer報(bào)告

SHA 256：ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c

Excel Web查詢是用于將內(nèi)容從Web查詢并填充到Excel單元格的簡單文本文件。這些文件包含一個(gè)URL，在Excel中打開該文件后，URL的內(nèi)容將被下載到工作簿中。從那時(shí)起，DDE就可以輕松地執(zhí)行代碼了。

Excel已支持該文件類型超過十年，但公開發(fā)布的惡意軟件直到5月底才開始使用此技術(shù).

然后在6月初發(fā)布了一份詳細(xì)介紹利用此種方式進(jìn)行攻擊行動(dòng)的報(bào)告:

惡意軟件分析: Excel Web Query (iqy)文件下載FlawedAmmyy遠(yuǎn)控 (VirusTotal5/59)https://t.co/GJAnsfwwOg #infosec18 pic.twitter.com/PCpm3O1Pfe

示例本身非常簡單，只是一個(gè)文本文件，其中包含要下載的鏈接。

圖1：IQY文件的內(nèi)容

打開文件時(shí)，Excel下載2.dat，并將文件的內(nèi)容復(fù)制到單元格中。

圖2：Excel下載下一階段

圖3：下載的2.dat文件的內(nèi)容

2. dat的內(nèi)容以=cmd|。這是一個(gè)簡單的DDE方法，用于簡單地獲得后面代碼執(zhí)行。管道使用cmd.exe執(zhí)行后的字符串，并將使用PowerShell下載下一階段(1.dat)。在執(zhí)行命令之前，Excel中會(huì)彈出警告。

圖4：Office 2016的警告

圖5: 第二階段的內(nèi)容, 1.dat

1.dat是一個(gè)簡單的PowerShell下載程序，它下載并執(zhí)行FlawinAmmyy遠(yuǎn)控。

圖6：下載和執(zhí)行FlawinAmmyy的IQY文件的處理圖

SLK-符號鏈接

查看VMRayAnalyzer報(bào)告

SHA 256：3d479d661bdf4203f2dcdeaa932c3710ffb4a8edb6b0172a94659452d9c5c7f0

SLK文件格式是為在電子表格之間交換信息而設(shè)計(jì)的。與IQY一樣，它也是Office支持的另一種格式，它可以與DDE相結(jié)合，以一種簡單的方式執(zhí)行代碼。盡管該文件的內(nèi)部文件是無文檔的，但可以輕松地修改現(xiàn)有的SLK文件，而不需要了解格式，并且有非正式的文件嘗試。

對于攻擊者來說，實(shí)現(xiàn)代碼執(zhí)行的唯一方法是用動(dòng)態(tài)表達(dá)式替換SLK文件中的單元格，比如以“=cmd\”開頭的單元格。以下示例(地址)使用此技術(shù)開始使用聯(lián)機(jī)XSL。攻擊者可以直接在這里下載有效載荷，但可以使用“SquiblyTwo”SubTee技術(shù)，利用WMIC實(shí)現(xiàn)代碼執(zhí)行的技術(shù)。

圖7：使用自定義電子表格啟動(dòng)wmic.SLK。

圖8：SLK啟動(dòng)WMIC的過程圖

啟動(dòng)文件夾

查看VMRayAnalyzer報(bào)告

SHA 256：83b0d7926fb2c5bc0708d9201043107e8709d77f2cd2fb5cb7693b2d930378d2

打開Word或Excel時(shí)，它們會(huì)解析某些文件夾，查找文件，并在默認(rèn)情況下打開它們。這個(gè)特性有很詳細(xì)的文檔記錄，一些組織在默認(rèn)情況下使用它來打開默認(rèn)的模板。

該特性也可以被惡意軟件用作持久化機(jī)制或沙箱逃逸技術(shù)。技術(shù)實(shí)施起來簡單，就只需將一個(gè)文件放到其中一個(gè)文件夾中。除非下一次啟動(dòng)相關(guān)的Office程序，否則不會(huì)打開該文件，沙箱可能不會(huì)自動(dòng)打開該文件。

示例(地址)是一個(gè)rtf文件，該文件利用Word的等式編輯器漏洞(CVE-2017-11882)將XLS拖放到擴(kuò)展名為xlam的默認(rèn)ExcelXLSTART文件夾中。

圖9：刪除文件到XLSTART的檢測

圖10：被丟棄的XLS的Yara匹配

釋放的XLS有經(jīng)過混淆的宏，下一次啟動(dòng)Excel時(shí)，它將打開已刪除的文件，并執(zhí)行宏，最后將DLL刪除到AppData文件夾，并將其鏈接到系統(tǒng)啟動(dòng)時(shí)運(yùn)行。

查看釋放的XLS的VMRay Analyzer報(bào)告

圖11：刪除XLS的檢測

嵌入式設(shè)置內(nèi)容

查看VMRayAnalyzer報(bào)告

SHA 256：3c6a74d216e10e4ff158716cfa72984230995041c4bbb7596b8c8aaa461d76c5

本質(zhì)上，SettingContent-Ms文件類型是一個(gè)XML，它有一個(gè)名為“Deeplink”的標(biāo)簽。Deeplink可以指向任何可運(yùn)行的文件，當(dāng)文件打開時(shí)，指定的文件將被執(zhí)行。

當(dāng)使用Office的連接打開文檔中嵌入的文檔時(shí)，Office可以禁用或警告打開嵌入的文件(如果它們是可執(zhí)行的)。可執(zhí)行文件黑名單中缺少了這個(gè)擴(kuò)展名，因此它繞過了這個(gè)安全特性，這意味著使用Office文檔執(zhí)行代碼要容易得多。在該漏洞被公開披露后，安全研究人員創(chuàng)建了測試樣本，其中許多最終在VirusTotal上結(jié)束。這種方法也被野生的惡意軟件所使用，讓LokiBot掉了下來。從那時(shí)起，它就被廣泛應(yīng)用于惡意軟件的運(yùn)動(dòng)中，它的變化是將文件嵌入到PDF文件中，而不是DOC文件。

VMRay Analyzer檢測文件結(jié)果:

圖12：VMRayAnalyzer檢測文件

結(jié)語

WF曲速未來表示：攻擊者在不斷尋找新的攻擊載體。在Office文檔中使用宏很容易檢測，而且由于它們需要一些技能來實(shí)現(xiàn)，因此無法訪問它們。然而，Office確實(shí)提供了許多現(xiàn)在未使用和被遺忘的特性，可以利用這些特性來創(chuàng)建成功的攻擊。重新發(fā)現(xiàn)這些Office功能需要努力和技巧，但是一旦有了概念的證明，就有了一個(gè)窗口，可以用很少的技能創(chuàng)建高效的攻擊。