從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

巨集惡意軟體使用新手法,利用表單儲存程式碼

巨集惡意軟體會捲土重來並持續流行可能有幾個原因,其中之一是它們繞過傳統防惡意軟體解決方案及沙箱技術的能力。另一個原因是它們會不斷地改善攻擊方式:就在​​最近,我們看到相關巨集惡意軟體及最新的 Locky勒索軟體會用巨集內的表單物件來混淆惡意程式碼。這種做法可以進一步地讓攻擊者得以隱藏在目標網路或系統內執行的惡意活動。

  • 編按:勒索軟體 Locky 近日在台灣有加速散播的趨勢,它利用使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔

    PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

    Windows10Banner-540x90v5

    趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


     

使用表單(就像應用程式介面的文字方塊),攻擊者會用巨集表內的腳本來產生並執行惡意程式。跟之前的巨集惡意軟體一樣,這也需要使用者手動啟用巨集以觸發執行。但這種新做法需要能夠存取儲存在表單中的shellcode。雖然這種做法被認為比典型技術更困難,但並不一定會影響其安裝。

 

儲存的shellcode螢幕截圖
圖1、儲存的shellcode螢幕截圖

 

可能的情境

想像一下,某組織內的一名員工收到帶有Word附件的垃圾郵件。該附件提示員工啟用巨集功能,因為他常常收到帶有表單的Word檔,所以並不覺得有任何可疑就打開這個檔案。他所不知道的是,一個惡意檔案已經在背景執行,造成系統被感染,並且導致資料竊取或重要檔案無法使用。

夾帶勒索軟體的垃圾郵件螢幕截圖
圖2、夾帶勒索軟體的垃圾郵件螢幕截圖

 

 

 

這種新做法的危險性讓人想起POWELIKS將惡意程式碼隱藏在Windows註冊表中。當它出現時,沒有類似威脅,也沒有人想到可以用這功能來混淆惡意程式碼。

惡意使用巨集可以追溯到2000年。當時利用此功能是種常見的做法,但一切在微軟決定預設停用巨集以作為安全措施後改變了。在很長一段時間裡,巨集惡意軟體不再出現在新聞頭條,直到2014年,並且開始成為網路犯罪和針對性攻擊活動的有力工具。新威脅像是DRIDEX和ROVNIX會利用惡意巨集作為感染媒介。而 BARTALEX 主要影響的是企業組織,突顯出當威脅利用此做法時會造成大型組織或單位的安全風險。

 

檢視惡意結果

根據報導,Locky勒索軟體是2016年2月危及好萊塢長老教會醫療中心網路並加密病歷的元凶,是勒索軟體利用惡意巨集滲透入系統的第一個實例。在一般情況下,勒索軟體會透過已淪陷網站或垃圾郵件出現。然而,此變種複製改造了DRIDEX常見利用巨集的做法。

【延伸閱讀:勒索軟體以病歷當人質,好萊塢長老教會醫療中心(HPMC)癱瘓一個多星期

一個常見的網路銀行惡意軟體DRIDEX具備自己的巨集下載程式。當我們進行分析時發現,趨勢科技大多數偵測到的DRIDEX是巨集下載程式,而非真正的TSPY_DRIDEX。這可能表示此種威脅仍然相當猖獗,儘管其部分命令與控制(C&C)伺服器在去年被關閉

 

對策

趨勢科技的端點解決方案,如趨勢科技PC-cillin雲端版趨勢科技 Office Scan™和 Worry-Free Pro 都具備行為監測來偵測上述攻擊內的惡意檔案。然而,對此類威脅和其行為的認知是與之對抗的第一步。不要啟用電子郵件附件內的巨集也相當重要,因為這可以為防止下載惡意檔案進入系統加上另一重保障。對企業或組織來說,最好要封鎖可疑來源且夾帶附件的電子郵件。

 

相關檔案的雜湊值:

  • 82bdc5c49b97f8aa5f7b74c4b22a90b8325dbf84

 

 

@原文出處:Macro Malware Strides in New Direction, Uses Forms to Store its Code 作者:Wilson Agad
延伸閱讀:

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集


如何防禦勒索軟體?
★牢記四步驟和”三不三要”口訣
【一般用戶】
★使用趨勢科技PC-cillin 2016對抗勒索軟體 >> 即刻免費下載
【企業用戶】
★趨勢科技端點解決方案
★中小企業如何防禦加密勒索軟體?

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數