返回目录:office365
最近,思科Talos团队观察到有攻击者试图利用ODT文件来绕过杀毒软件的查杀,进而传播包括AZORult间谍软件在内的计算机病毒。
Talos团队表示,ODT文件之所以能够绕过杀毒软件的查杀,是因为目前市面上的大多数杀毒软件都将ODT文件视为标准的压缩文件,并且没有应用与Office文件相同的查杀规则。
此外,一些沙箱也无法分析ODT文件,原因同样是它被视为压缩文件,并且这些沙箱也不会将它作为Office文件打开。
样本1:带有OLE对象和HTA脚本的ODT文件
Talos团队捕获的首个样本是一个带有嵌入式OLE对象(必须点击提示才会执行)的ODT文件,有阿拉伯语版本和英语版本,如下图所示:
执行后,OLE对象会部署了一个HTA脚本并执行它:
接下来,HTA脚本会从ttop4top[.]net(一个受欢迎的文件托管平台)上下载一个文件:
分析表明,下载的文件是一个远程管理工具(RAT)。
其中,阿拉伯语版本下载的远程管理工具是NJRAT,C2服务器是amibas8722[.]ddns[.]net,指向阿尔及利亚互联网服务提供商:
英语版本下载的远程管理工具是RevengeRAT,C2服务器隐藏在Portmap平台(wh-32248[.]portmap[.]io)中。 PE存储在注册表中,并使用计划任务和PowerShell脚本执行:
第二个样本同样带有一个OLE对象,同样需要用户交互:
执行后,表面看上去是可执行文件但其实是一个压缩文件(经过多层压缩,使用到的工具包括Goliath、babelfor.NET和9rays等)的“Spotify.exe”将会被写入受感染计算机。
解压缩后,最终的有效载荷为AZORult。我们可以在最终的二进制文件中看到它的典型字符串:
第三个样本针对的是OpenOffice和LibreOffice,而不是Microsoft Office。攻击者在StarOffice Basic中使用了Microsoft Office文档中的宏,StarOffice Basic的代码位于ODT文件中的Basic/Standard/ repository:
示例如下:
这段代码的作用是下载并执行一个名为“plink”的二进制文件,进而下载下一阶段有效载荷——开源漏洞检测工具Metasploit。
此外,一些经过混淆处理的版本,还试图使用WMI来执行下载的有效载荷:
值得一提的是,这些样本仅针对的是使用OpenOffice和StarSuite的用户,最终有效载荷是什么尚不清楚。
结论
Microsoft Office文件一直被攻击者广泛利用,这种广泛程度就如同Microsoft Windows是最受攻击者喜爱的操作系统一样。ODT文件的使用表明,攻击者似乎正在尝试改变他们的感染机制,以确保感染的成功率。
正如文章一开始所指出的那样,一些杀毒软件和沙箱并没有适当的方法来处理ODT文件,于是就导致了几乎为零的检出率。尽管使用这种文件格式的人并不多,但用它来攻击特定的目标,成功率显然会很高。