首頁

最新消息列表

最新消息 / NEWS

2019年第一季國際的威脅情報網路上，研究團隊發現一個非常有趣的案例，這個案例有益打破一個制式化的資安觀念：只要不打開郵件的附檔，就什麼事情也不會發生了。

案例中惡意檔案本身是一個Word文件並通過電子郵件發起一個網路魚叉攻擊。如果用戶點開該文件，則會下載有效負載(Payload)在用戶的後台上自動運行。到目前為止，並沒有什麼特殊的地方，這種感染方式是常見用以規避閘道NGAV的攻擊手法。

這個事件不尋常的原因有三個。首先，用戶無需打開文檔即可觸發惡意文件。其次，如果文件標記為ADS安全區標識符為3（ADS security Zone identifier ＝3, 意味著該文件來自不可靠的位置），它仍然有效被開啟。最後，它的負載成功規避了某些AV API掃描。在這篇文章中，我們會先討論第一個原因，其他部分由後續文章詳加說明其他攻擊的部分。

對於那些希望更深入了解的人來說，惡意文檔的Hash值是：

3FEA120D39B1F0B63DC6A73D0EE2D197169FC765DD5B1EAFC5658C6799D4B00F

如何在不打開文件的情況下感染？

簡短的回答是 – 文檔預覽！在Windows資源管理器或Outlook中顯示所有文檔時，右側（或下方，根據您的選項設定）有一個“預覽”窗格，可以為您提供文檔外觀的小圖像。這是一個方便的可用性功能，但從安全角度來看也存在問題 – 為了創建瀏覽暫存，會直接解析文件的內容。微軟仍然保留一定的安全性。例如，所有巨集都將被關閉，我們幾乎沒看過預覽中觸發巨集的攻擊。

我們使用了真正的環境還原了這個攻擊，Windows資源管理器預覽中突出顯示並打開文件時觸發此攻擊（是的，我們使用了工作上NB電腦上觸發了惡意病毒，但它在我們的瀏覽安全容器Ceedo中隔離，所以完全無法危害到系統環境）。由於微軟禁用了預覽中的巨集程式，因此我們得出的結論是，此攻擊並未使用Word本身的巨集，這確實不常見。從上面的圖像中，您可以注意到PowerShell正在Explorer Preview窗格中執行，這不是我們經常看到的攻擊模式。

此相同的可執行文件用於Outlook中的附加檔案預覽，它會導致相同的行為。如果Outlook在Office預覽中加載附件，則攻擊將運行。用戶永遠不需要直接打開附件，就直接遭受文件裡的惡意攻擊而不知道問題從何而來。

如需更多詳細資訊，請與我們聯絡。