有一名客戶提交了一份帶有可疑公式並設成 ”Very Hidden” 的惡意 Microsoft Excel 4.0巨集工作表,讓趨勢科技研究人員進行進一步的分析。因為一項Microsoft網站上有記錄的隱藏工作表功能,所以無法從Microsoft Excel使用者介面(UI)存取這工作表。惡意檔案通常會用作垃圾郵件的附件檔。
開啟檔案後會顯示訊息要求使用者點選”Enable Editing”(允許編輯),然後是”Enable Content”(啟用內容)。使用者在點選這些按鈕後也在不自覺下啟用了巨集。
研究人員使用Visual Basic編輯器來檢查巨集的存在。但是開啟後並沒有發現巨集。
繼續閱讀新巨集病毒會竄改受害電腦的特定桌面捷徑,用以下載後門程式。趨勢科技在一封包含圖片檔的文件中發現這隻巨集病毒,當使用者依照要求執行巨集以開啟整份文件後,該病毒就會尋找 Skype、Google Chrome、Mozilla Firefox、Opera 以及 Internet Explorer 等五種桌面捷徑,加以感染並取代指向的連結。
當惡意程式執行完畢之後,它會將捷徑還原成原本的狀態,並開啟原本對應的應用程式,使其看起來神不知鬼不覺,藉以降低用戶警覺性。接下來,惡意程式會開始運用其下載的檔案。駭客並未自行開發工具,而是下載網路上常見的工具,例如各式各樣的 Windows 工具、WinRAR 及 Ammyy Admin 等等來蒐集系統上的資訊並經由 SMTP 傳回給歹徒。
趨勢科技在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式,呼籲電腦用戶當心威力進化的新變種。
PC-cillin 雲端版
防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位 ➔ 即刻免費下載試用
儘管巨集病毒存在已有數十年歷史,但網路犯罪集團仍不斷持續利用惡意巨集來散布惡意程式,只不過今日的方法更有創意,也更有效率。最近一起歹徒利用惡意巨集的案例採用了一種較為迂迴的作法,該巨集會先搜尋使用者系統上是否有特定的桌面捷徑,然後將捷徑指向其下載的惡意程式。當使用者點選被篡改的桌面捷徑時,就會執行下載的惡意程式。
儘管駭客使用的巨集和所下載的惡意程式並不複雜,但這套運用方法卻相當值得注意,因為看來似乎還會有後續發展。
圖 1:惡意程式感染過程。
惡意文件
歹徒攻擊一開始是使用一個惡意文件,該文件的內容為俄羅斯文,並含有一張房屋的照片。內容會指示使用者啟用巨集功能來檢視完整文件。 繼續閱讀
安全研究人員發現了一起多階段的攻擊鏈,利用RTF檔案的設計及微軟Office漏洞(CVE-2017-8570)來散播Formbook遠端存取木馬(RAT)。以下是企業要主動回應此威脅所需要了解的資訊:
[相關文章:Trickbot資料竊取程式加入躲避偵測和鎖住螢幕的功能]
Formbook具備鍵盤側錄和螢幕擷取功能
Formbook具備鍵盤側錄和螢幕擷取功能。它還可以下載其他惡意軟體或元件來竊取和外洩資料。研究人員指出,這版本的Formbook也含有銀行木馬中常見的惡意元件。
在2017年12月,趨勢科技發現數個網路犯罪集團散播Formbook及大量的其他資料竊取惡意軟體。他們的攻擊活動中也利用了RTF檔案,攻擊的是另一個漏洞(CVE-2017-11882)。
[延伸閱讀:中小型企業的資安挑戰可能需要第三方協助]
攻擊鏈
感染方式是雙管齊下。第一階段利用夾帶微軟Word文件(.docx)的垃圾郵件,文件檔內的frameset(包含載入文件所需框架的HTML標籤)內嵌了惡意網址。一旦受害者打開檔案,就會下載攻擊者所指定的物件並呈現在文件內。經過研究人員逆向工程一個Formbook樣本顯示,網址會連到另一個帶有漏洞攻擊RTF檔案的命令與控制(C&C)伺服器。這種攻擊不需要巨集和shellcode。 繼續閱讀
最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本,純粹以 VBA 巨集所撰寫,這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式,會感染 Microsoft Word 的 Normal 範本 (normal.dot),也就是所有新增空白 Word 文件所使用的範本。
從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC),而非在外活躍的惡意程式。但儘管如此,qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出,其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如,當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時,它還沒有比特幣(Bitcoin)位址。但短短兩天之後就有了,而且還增加了一個會在特定日期和時間加密文件的行為。隔天,我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。
值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒
qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒,而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外,它也是少數使用巨集來撰寫惡意程式碼的病毒之一,其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。
qkG 採用巨集撰寫惡意程式碼的作法,類似 .lukitus 勒索病毒 (Locky 勒索病毒變種之一),後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過,qkG 只會將文件加密,但 .lukitus 的巨集卻會下載並協助執行勒索病毒,被下載的勒索病毒才會將感染系統上的目標檔案加密。
其他 qkG 值得注意的行為還有會將文件內容加密,但檔案結構及檔案名稱卻維持不變。此外,也不會在系統上產生勒索訊息檔案,因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument),換句話說,只有已開啟的文件才會被加密。
圖 1:qkG 內容中的字串顯示其名稱和作者。 繼續閱讀
如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔,這是新型的勒索軟體 Ransomware (勒索病毒/綁架病毒),它利用使用者對 Microsoft Word 檔比較沒有戒心的心態,企圖透過惡意巨集加以運行。
這是一個使用較少見方法進行散播的新勒索軟體 Ransomware (勒索病毒/綁架病毒):「Locky」,透過Word文件內的惡意巨集來滲透入系統。雖然勒索軟體較少出現利用巨集攻擊,但類似的散播方式可以找到知名的惡意銀行軟體DRIDEX,它也使用類似的攻擊方式。
Locky透過電子郵件進入受害者電腦,偽裝成發票並附上帶有惡意巨集的Word文件。根據研究人員表示,其相關內容如下:
郵件主旨:
ATTN: Invoice J-98223146
內文:
「Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.
(詳見隨附發票(Microsoft Word文件),並且根據發票底部所列出品項匯出付款。)」
開啟巨集才能檢視文件檔 ? 啟用巨集勒索軟體即開始暗中加密
一旦受害者不疑有他的開啟 Word檔檢視時會出現亂碼, 同時會看到以下要求啟用巨集才能正確檢視的訊息:「Enable macro if the data encoding is incorrect(如果資料編碼不正確就啟用巨集)。」事實上,巨集一旦被啟用,則開始暗中下載勒索軟體感染加密受害用戶的檔案
Locky的惡意執行檔下載自網路伺服器。一旦安裝,便會開始尋找可用的硬碟(包括網路硬碟)並加密檔案,如文件、圖片、音樂、影片、壓縮檔、資料庫和其他網頁應用程式相關檔案。加密的檔案將被重新命名,並加上「.locky」副檔名。就跟其他勒索軟體一樣,每個被加密資料夾中會附上各種語言的勒索訊息會。該訊息引導受害者到Tor網路來用比特幣(Bitcoin)(0.5 BTC)付錢。
[延伸閱讀:勒索軟體如何運作以及該如何保護自己]
Palo Alto Networks的研究人員已經紀錄了446,000條跟此新勒索軟體 Ransomware相關的連線,其中一半以上(54%)影響美國的受害者。趨勢科技將此勒索軟體偵測為RANSOM_LOCKY.A。除了美國以外,也出現在全球各地,包括日本、德國、法國、義大利、英國、墨西哥、西班牙、以色列和印度。 繼續閱讀