Microsoft Office中的宏仍被大量恶意软件利用 是黑客的首选攻击手段

Microsoft Office中的宏仍被大量恶意软件利用 是黑客的首选攻击手段

黑客软件访客2021-10-11 16:22:0011842A+A-

Microsoft Office内存损坏漏洞CVE-2017-11882是一个修补的Microsoft漏洞,允许攻击者执行任意代码执行。使用恶意Microsoft宏的攻击,总是一种破坏目标计算机的流行方法,比以往任何时候都更具破坏性

这种经过验证的方法背后隐藏着Microsoft Office内存损坏漏洞(CVE-2017-11882),这是一个允许攻击者执行任意代码执行的错误。在 Cofense情报部门周四发布的一份报告中,尽管自去年11月以来一直在修补,但它上个月仍有37%的恶意软件针对该漏洞。

8月发现的剩余18%的恶意软件主要由批处理脚本,PowerShell脚本和Microsoft Windows脚本组件(WSC)文件的下载程序组成(通常在游戏中出现)。

宏是一个主要问题

报告显示,通过电子邮件发送的武器化Microsoft Office文档保持其作为“传递机制”的强大保留。

当然,宏对于向端点提供恶意负载非常有意义,因为在提示时可以通过简单的单击鼠标来允许它们。并且,虽然默认情况下Microsoft在Microsoft Office中禁用它们,但是一些企业已将其打开,因此用户可能没有任何其他迹象表明任何问题。

“这使得启动感染链的第一阶段变得微不足道,这样使用的宏是嵌入式Visual Basic脚本,通常用于促进下载或直接执行其他有效负载。”

大量针对宏的恶意软件

研究人员发现虽然宏观方法易于执行并且入门门槛极低,但是针对的恶意软件包括最恶性的恶意软件,包括Geodo(占观察到的大多数宏观交付有效载荷),Chanitor / Hancitor(第二大交付的有效载荷),AZORult和GandCrab – 以及更多,如TrickBot。

“从简单机器人到勒索软件的不同类型恶意软件的范围表明,成熟和业余运营商都在使用这种车辆将有效载荷送到终端,”

已知的漏洞

该分析还发现,几乎与宏一样普遍,Microsoft Office公式编辑器组件中发现的CVE-2017-11882漏洞是用于传递恶意软件的第二大使用的攻击媒介。

“漏洞存在于公式编辑器组件中,当使用它时,它作为自己的进程运行(eqnedt32.exe),由于它的实现方式,它不支持数据执行保护(DEP)和地址空间布局随机化(ASLR)。恶意文档利用此漏洞执行命令。“

Microsoft Office内存损坏漏洞(CVE-2017-11882)正在被Osiris银行木马,FELIXROOT后门恶意软件以及被滥用为间谍软件(即Imminent Monitor)的合法工具所使用。

尽管新型文档攻击正在出现,目标是收件箱并且不需要宏来触发感染链 – 尽管使用轻量级脚本的秘密方法正在增加,但目前,宏仍然是网络犯罪分子手册中的首选,同时还有投注在未打补丁的机器上。因此,基本的安全卫生目前仍然是用户最好的第一道防线。

原文链接:https://threatpost.com/threatlist-microsoft-macros-remain-top-vector-for-malware-delivery/137428/

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 泪灼软祣2022-06-07 10:24:52
  • 的秘密方法正在增加,但目前,宏仍然是网络犯罪分子手册中的首选,同时还有投注在未打补丁的机器上。因此,基本的安全卫生目前仍然是用户最好的第一道防线。原文链接:https://threatpost.com/threatlist-microsoft-ma
  • 痴者同尘2022-06-07 11:46:27
  • 全卫生目前仍然是用户最好的第一道防线。原文链接:https://threatpost.com/threatlist-microsoft-macros-remain-top-vector-for-malware-delivery/137

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理