趨勢科技最近發現另一種散播惡意軟體的獨特方法,當滑鼠停在PowerPoint投影片超連接的圖片或文字時就會中毒。
以偽裝的發票或採購訂單,包裝成PPSX或PPS檔案,誘使企業採購相關承辦人點擊
POWHOV.A木馬 以偽裝的發票或採購訂單,包裝成微軟PowerPoint Open XML Slide Show(PPSX)或PowerPoint Show(PPS)檔案,誘使企業採購相關承辦人點擊。
提醒您:PPS/PPSX跟PowerPoint投影片檔案(PPT或PPTX)不同,PPSX或PPS檔案打開就直接是投影模式,而後者可以進行編輯。
一旦受害者下載並打開檔案,將滑鼠移過內嵌惡意連結的文字或圖片即會觸發滑鼠懸停動作,內容被啟用後,內嵌的惡意PowerShell腳本會被執行下載另一個JScript編碼檔案格式(JSE)的下載程式(JS_NEMUCOD.ELDSAUGH),最後會從命令與控制(C&C)伺服器取得有效載荷。
並且在安全提示視窗跳出時選擇啟用內容。
由於微軟預設停用可疑檔案的內容,透過Office後期版本的保護瀏覽功能來減少Office功能被惡意使用,像是巨集和物件連結與嵌入(OLE)。因此,引誘受害人打開檔案並啟用惡意內容在系統上執行的關鍵是社交工程(social engineering )陷阱。
出現安全通知/提示的惡意PPSX檔案樣本
這作法在Microsoft PowerPoint線上版或Office 365網頁版並無法作用,因為它們並不提供離線/桌面版本的這些功能。但是Office 365用戶仍然可能存取帳號並透過客戶端(安裝在本機的PowerPoint)打開惡意檔案而受到影響。
滑鼠懸停功能讓攻擊鏈變得更精簡
惡意的滑鼠懸停技術不需要依靠其他載體來提供有效載荷,對網路犯罪分子來說可以讓攻擊鏈變得更精簡。在我們所取得和分析的其中一個樣本,這有效載荷被嵌入檔案的ppt/slides/_rels/slide1.xml.rels:
Microsoft Office文件(如PowerPoint檔案)是許多惡意軟體攻擊企業的主力,因為這類型的文件在工作場所會頻繁出現。而像巨集、OLE和滑鼠懸停等功能也有正常的用途,只是落入了壞人之手。社交工程郵件加上滑鼠懸停(如果後者被停用的話可能需要點一下)就可能會讓受害者中毒。這隻新型病毒目前在歐洲出沒,特別是英國、波蘭、荷蘭和瑞典。受影響的產業包括製造業、設備商、教育、物流和煙火公司。
最佳作法
建議使用者用微軟預設的受保護的檢視模式,尤其下載自可能不安全地方的文件。受保護瀏覽模式讓使用者可以讀取未知或可疑文件的內容,同時又能夠顯著地減少感染機會。對於IT/系統管理員和資安專家來說,可以停用這些功能來減少這類威脅,只要透過修改註冊表或實施群組原則來封鎖使用者權限,讓這些威脅從一開始就不會被執行。
還需要強制執行最低權限原則,限制系統上的root或管理員權限。另一個作法是在使用和防護工具和服務(如PowerShell)時遵循最佳作法,木馬下載程式需要用它來取得和帶入其他惡意軟體到系統內。
如果巨集和滑鼠懸停等功能是業務流程所必須,只允許會用到它們的應用程式/軟體使用,或只允許已簽章/允許的巨集。不過,這些不能阻止惡意軟體濫用巨集和滑鼠懸停等功能;比方說,簽章巨集用的憑證也可能被竊。多層次防護作法才是關鍵。例如,可以考慮使用能夠隔離和分析可疑附加檔案的沙箱技術。資料分類和網路分段也有助於限制資料的暴露面和毀損。
考慮到電子郵件是這些惡意軟體進入系統的大門,保護郵件閘道和解決郵件威脅也是必須的。鑑於社交工程在這些攻擊扮演至關重要的角色,增強員工的網路安全意識有助於強化沒有萬靈丹可解的弱點 – 人心。
趨勢科技解決方案
解決這些類型的威脅需要多層次和積極的安全作法 – 從閘道、端點、網路和伺服器。趨勢科技端點解決方案(如趨勢科技的趨勢科技HYPERLINK “https://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites 和Worry-Free Pro)能夠偵測惡意檔案、垃圾郵件及封鎖所有相關惡意網址來保護使用者和企業對抗此類威脅。趨勢科技的Deep Discovery具備電子郵件檢查能力可以偵測惡意附件檔和網址來保護企業。
趨勢科技的Hosted Email Security是無需客戶維護的雲端解決方案,可以提供持續更新的防護來阻止垃圾郵件、惡意軟體、魚叉式網路釣魚、勒索病毒及進階針對性攻擊,甚至在它們抵達網路之前。它可以保護Microsoft Exchange、微軟Office 365、Google Apps和其他代管或內部部署的電子郵件解決方案。
趨勢科技的趨勢科技 OfficeScan™具備XGen端點防護功能,融合了高保真機器學習與其他偵測技術,加上全球威脅情報來針對進階惡意軟體提供全面性的保護。
趨勢科技的Deep Discovery Inspector透過以下DDI規則來保護客戶免於此威脅:
- DDI Rule 18 : DNS response of a queried malware Command and Control domain
使用進階威脅掃描引擎的趨勢科技產品客戶可以透過以下啟發式規則受到保護:
- SL:內嵌在PowerPoint的可疑指令
入侵指標:
相關哈希值(SHA256):
- 796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921 – A
- 55821b2be825629d6674884d93006440d131f77bed216d36ea20e4930a280302 – ELDSAUGH
- 55c69d2b82addd7a0cd3bebe910cd42b7343bd3faa7593356bcdca13dd73a0ef – TROJ_OTLARD.TY
偵測為P2KM_POWHOV.A(SHA256):
- 556d9cefd63d305cb03f0a37535b3951cdb6d9d191400e40dc1a85bc2f67f720
- ad48d4d432a76f92a52eb0869cbba754f9ea73df280a30c28eac88712bfbd479
相關的C&C網域:
- hxxp://cccn[.]nl/c[.]php
- hxxp://cccn[.]nl/2[.]2
- hxxp://basisinkomen[.]nl/a[.]php
用於C&C伺服器和垃圾郵件發送的受害網站相關IP地址和網址:
- hxxp://netart[.]pl
- hxxp://chnet[.]se
- 77[.]55[.]8[.]61
- 85[.]128[.]212[.]154
- 91[.]211[.]2[.]112
@參考原文:Mouse Over, Macro: Spam Run in Europe Uses Action to Deliver Banking Trojan
作者:Rubio Wu和Marshall Chen(威脅分析師)