Excel文档暗藏危机?黑客利用CC防御.NET库生成恶意文件可绕过安全检测-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Excel文档暗藏危机?黑客利用CC防御.NET库生成恶意文件可绕过安全检测

Excel文档暗藏危机?黑客利用CC防御.NET库生成恶意文件可绕过安全检测

小墨安全管家 2020-09-07 20:12 CC防护 89 ℃
DDoS防御

该恶意组织团伙名为“Epic Manchego”,自6月起,向来有所动作,要紧活动是在世界范围内,向企业发送带有恶意Excel的网络钓鱼邮件。

自6月起,该恶意文档的运营商开始活跃,其中包含恶意宏足本。假如打开Excel文件的用户允许执行足本(经过单击“启用编辑”按钮),这么宏将在目标用户的系统中下载并安装恶意软件。

修复建议

增强网络钓鱼意识培训并执行网络钓鱼练习。

过滤电子邮件附件和从组织外部发送的电子邮件;

使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。EPPlus没有创建编译代码的想法:创建编译VBA代码的算法是Microsoft专有的。

这些恶意Excel文件也是“出身不凡”,它们并不是在常规的Microsoft Office软件中编译的,而是在带有EPPlus的.NET库中编译的。开辟人员会使用该库来添加“导出为Excel”或“另存为电子表格”的功能,简单来讲,可用来生成多种电子表格格式的文件,甚至支持Excel 2019。

Epic Manchego利用该库中的EPPlus来生成Office Open XML(OOXML)格式的电子表格文件。Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码特意用于在Microsoft专有Office软件中编译的Excel文档。

近期,NVISO Labs的安全研究人员发觉一具新型恶意软件团伙利用一具新技术生成Excel文件,无需使用Microsoft Office即可创建包含大量宏的Excel工作簿,这些恶意Excel文件比较难被检测到,可绕过系统的安全检测。

安全研究团队NVISO表示,他们发觉了200多个链接到Epic Manchego的恶意Excel文件,第一具可追溯到今年6月22日。

已编译的VBA代码能够存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码,该格式也受到密码爱护,以防止安全系统和研究人员分析其内容。

下载的恶意程序大多是那些经典的窃密木马,比如Azorult、AgentTesla、Formbook、Matiex、和njRat,这些木马程序能够将用户扫瞄器、电子邮件和FTP客户端的密码转储,并将这些发送到Epic Manchego的服务器中。

恶意表格文件由EPPlus编译

Excel文档是十分常见的办公软件,一旦被黑客盯上,脚以让大批量的用户中招。用相同的Excel文档混淆用户视线,表面“波澜不惊”,实则“暗藏危机”。

这些Excel文件暗藏“猫腻”,不是人们使用的常规的表格文件,它们可绕过安全扫描程序,检测率较低。

Excel文档暗藏危机?黑客利用CC谨防.NET库生成恶意文件可绕过安全检测

OOXML文件格式是一种开放包装约定(OPC)格式:一种ZIP容器,要紧包含XML文件,大概还包含二进制文件。它最初是由Microsoft在Office 2007发行版中引入的。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。

实施功能强大的端点检测和响应谨防;

“当我们注意到恶意文件没有通过编译的代码,同时也缺少Office元数据时,我们特别快想到了EPPlus。该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。

Excel文档暗藏危机?黑客利用CC谨防.NET库生成恶意文件可绕过安全检测

杀毒软件则是经过寻找VBA代码这一部分来实现恶意Excel文件检测功能,由此能够解释为啥Epic Manchego生成的恶意Excel文件检测率低于其他恶意Excel文件了。

虽然生成恶意Excel的文件的方式不同,然而由EPPlus生成的电子表格仍然能够像正常Excel文档那么工作。这让用户特别难辨别和发觉Excel表格的异样了。


DDoS防御

当前位置:主页 > CC防护 > Excel文档暗藏危机?黑客利用CC防御.NET库生成恶意文件可绕过安全检测

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119