有一名客戶提交了一份帶有可疑公式並設成 ”Very Hidden” 的惡意 Microsoft Excel 4.0巨集工作表,讓趨勢科技研究人員進行進一步的分析。因為一項Microsoft網站上有記錄的隱藏工作表功能,所以無法從Microsoft Excel使用者介面(UI)存取這工作表。惡意檔案通常會用作垃圾郵件的附件檔。
開啟檔案後會顯示訊息要求使用者點選”Enable Editing”(允許編輯),然後是”Enable Content”(啟用內容)。使用者在點選這些按鈕後也在不自覺下啟用了巨集。
研究人員使用Visual Basic編輯器來檢查巨集的存在。但是開啟後並沒有發現巨集。
我們使用內部分析OLE2檔案的工具來進一步檢查檔案結構。這讓我們發現了一個名為”G5U1D5zEis”的巨集工作表,此工作表被設為”Very Hidden”。此設定意味著該工作表無法透過Excel使用者介面存取,因為它不會出現在工作表列表。除非使用其他工具,否則無法取消隱藏該工作表。
我們修改了檔案以取消隱藏工作表。讓我們可以看到檔案內容。
透過去模糊化可以看到巨集工作表內存在開啟文件時會執行的公式。它還會呼叫網址hxxps://grpxmqnrb[.]pw/ehrj4g9g。
該網址是在最近才建立,同一網址也曾被用於攻擊Intel 471。以下是從VirusTotal找到的相關網址:
- hxxp://grpxmqnrb[.]pw/
- hxxps://grpxmqnrb[.]pw/
- hxxp//grpxmqnrb[.]pw/egrg4g3g
- hxxps//grpxmqnrb[.]pw/egrg4g3g
- hxxp://grpxmqnrb[.]pw/ehrj4g9g
- hxxps://grpxmqnrb[.]pw/ehrj4g96
此外,會連到此網址的Excel檔案(也從VirusTotal找到)也使用了相同的檔案名稱結構。其中有些文件是垃圾郵件附件檔:
- 1585059781-0ee5a944b4d8dc80001-29H5dr.eml (電子郵件檔案)
- 9df947a72e47676383d648858ee063c703a8f455454f1c6df8272a564a3456b5
- Info 122077.xls
- Info180.xls
- info-407759.xls
- Info_50930.xls
- Info.520513.xls
- info.57078.xls
- Info_64422.xls
- notif 1111.xls
網址 hxxps://grpxmqnrb[.]pw/ehrj4g9g會重新導向到hxxps://github[.]com/arntsonl/calc_security_poc/raw/master/dll/calc.dll。下載的檔案只會執行Windows計算機calc.exe。看起來是作為誘餌的檔案。但即使該網址現在無法解析或重新導向到任何地址,仍然有可能在使用不同轉址和下載檔案後重新啟用。
圖5. 下載的檔案會執行calc.exe
在本文撰寫時該網址已經關閉。網址結構、使用技術和巨集程式碼與會散播Zloader惡意軟體的攻擊活動所用的類似。
防禦惡意檔案
駭客每隔一段時間就會利用新檔案類型來持續地將惡意程式碼隱藏在看似無害的檔案中。這些檔案通常利用社交工程(social engineering)技術來透過垃圾郵件散播,如用冠狀病毒(COVID-19,俗稱武漢肺炎)爆發這樣的熱門時事來引起收件者注意並誘使他們下載附件檔。有些甚至會冒充知名組織來騙取收件者的信任。
延伸閱讀: 六個新冠病毒常用網路釣魚主旨
為了避免中毒,使用者不要下載非信任來源郵件內的附件檔或點入其連結。對於看似從官方組織寄送的電子郵件,使用者應該到官方網站查詢關於該郵件通告的新聞稿,或透過網站上的聯絡方式與他們確認是否寄送了電子郵件。使用者還應該檢查郵件本文內的文法錯誤和拼寫錯誤,這是電子郵件為垃圾郵件的常見特徵。利用安全解決方案也可以偵測並阻止惡意軟體經由電子郵件進入。
入侵指標
網址
- hxxps://grpxmqnrb[.]pw/ehrj4g9g
| SHA-256 | 趨勢科技病毒碼偵測 |
| 86220e444df9d48c15837a24ca8f2ad7178dd5d9a811e7e86f9d4ff4767d89b9 | Trojan.XF.HIDDBOOK.A |
@原文出處:Analysis: Suspicious “Very Hidden” Formula on Excel 4.0 Macro Sheet
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
