无需宏,PPT也能用来投递恶意程序
近日,网络犯罪者开发出了一种新型攻击技术,它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码,并下载恶意程序。
使用经过特制的Office文件——特别是Word文档来传播恶意软件其实并不少见,此类攻击通常依靠社会工程学(对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段)来欺骗受害者,诱使其启用文档中嵌入的VBA宏。
然而,研究人员最近发现,一种全新的攻击手段开始以恶意PPT文件为载体,通过鼠标悬停事件执行PowerShell代码。这些名为“order.ppsx”或“invoice.ppsx”的文件通过垃圾邮件进行分发,其主题多为“采购订单#130527”或“待确认事项”等,伪装成商务邮件进行攻击。
安全专家RubenDanielDodge进行的分析显示,当恶意PPT被打开时,它将显示为一个可以点击的超链接,文本是“正在加载……请等待”。
有趣的部分来了。这种新型攻击方式的可怕之处是,只要用户将鼠标悬停在恶意链接上,即使你并没有点击,也会触发执行PowerShell代码。一般来说,大多数版本的Office都会默认启用安全防护功能,通知用户一些常见的风险,提示用户启用或禁用某些内容,但此类保护对悬停攻击却成效甚微。另外,这种攻击也不需要用户启用宏来执行代码,而是使用外部程序功能。
如果受害者中招,PowerShell代码将被执行并连接到网站“cccn.nl”。接下来就是常规套路了,随后会从该域名下载文件并执行,最终部署恶意程序downloader。
Dodge This Security博客在针对该恶意程序的分析中提到,首张PPT Slide1的“rID2”元素定义中可见其PowerShell命令,如上图所示。而下面这张图中标注的红色部分,就是悬停动作的具体定义了。
RubenDanielDodge已经在文中公布了其IoC。很不幸的是,他们发现这种攻击方式在此之前就已经有人在用了——被用来传播一种网银木马的变种,没错,就是大名鼎鼎的“Zusy”、“Tinba”或被称为“TinyBanker”。
关于PPT投递恶意软件为何会有这么多人中招,Sentinel One是这样分析的:
用户仍然习惯于允许外部程序运行,因为他们总是既懒又忙,要不就是屏蔽了宏就以为高枕无忧了。而且,一些配置可能在外部程序中执行起来比用宏更方便。
当然,这种攻击也并非无往不利。有安全公司指出,如果使用Power Point Viewer打开恶意PPT文件即可使攻击失效。另外,大多数版本的Office在执行代码之前都会警告用户,虽然效果有限,但在某些情况下也可以挽回部分损失。
作者:佚名
来源:51CTO
无需宏,PPT也能用来投递恶意程序相关推荐
- 20145231熊梓宏 《网络对抗》 实验四 恶意代码分析
20145231熊梓宏 <网络对抗> 实验四 恶意代码分析 基础问题回答 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操 ...
- 大一c语言程序设计项目教程课,C语言程序设计项目教程 教学课件 ppt 作者 王瑞红 C语言程序设计项目教程习题答案...
C语言程序设计项目教程 教学课件 ppt 作者 王瑞红 C语言程序设计项目教程习题答案 习题答案模块 1 C 语言基础知识1. 选择题(1)C 语言中运算对象必须是整型的运算符是 (B ).A. %= ...
- python只能运行一次怎么改_是否可以修改和运行部分Python程序而无需一次又一次地运行所有这些程序?...
我编写了一个Python代码,用于从NLTK库中训练Brill Tagger大约8000个英语句子并标记大约2000个句子. Brill Tagger需要花费很多时间来训练,最后当它完成训练时,程序的 ...
- zemax 宏怎么编写数组_编写Excel VBA程序的10个技巧
学习Excel技术,关注微信公众号: excelperfect 学会一些有趣的技巧或想法,能够有效地提高ExcelVBA编程水平.下面是chandoo.org总结的编写Excel VBA程序的10个技 ...
- 错误: 非法的表达式开始_虽然这两个C语言宏定义很简单,但是能在程序运行前找到错误代码...
今天翻看 Linux 内核源代码时,发现两行非常有意思的C语言代码,如下: #define BUILD_BUG_ON_ZERO(e) (sizeof(struct { int:-!!(e); }))# ...
- 1900页Python系列PPT分享八:异常处理结构与程序调试、测试(70页)
总体说明:本套PPT共约1900页,包含董付国老师Python系列图书<Python程序设计基础>(2018年2月第6次印刷).<Python程序设计(第2版)>(2018年1 ...
- 恶意PPT文件夹带漏洞攻击和后门程序
趋势科技发现有一个恶意PowerPoint 文件,会以邮件附件的形式攻击用户.这个文件内嵌一个Flash 内容,会利用特定版本Flash Player 的漏洞(CVE-2011-0611)将后门程序植 ...
- ppt编写一个抽奖系统_PPT抽奖程序
Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds As Long) '参数是长整形(毫秒数).Lib & ...
- 李彦宏、马化腾、雷军,程序员国服三强中谁的编程能力更胜一筹?
他们,曾是勤勤恳恳的程序员 江湖中依然流传着他们如诗一般的代码 他们多才多艺 有的精通饶舌 有的精通外语 有的爱好天文 他们,凭借技术创业 均已成为互联网圈内的一方大佬 他们,就是人称程序员国服三强的 ...
最新文章
- 管理就16个字!做不到,就走人!
- Java面试题整理,连续四年百度Java岗必问面试题
- 013_Redis的主从模式
- SpringAOP中通过JoinPoint获取值,并且实现redis注解
- 华为 android9 信任app_搭载麒麟810处理器,华为Nova5i Pro的AI跑分创新高
- 周末,说声php的settergetter(魔术)方法,你们辛苦了
- 前端学习(2915):数据绑定
- 修改pom文件_自动化测试基础篇:Selenium 框架设计(POM)
- MYSQL5.7离线安装报libnuma.so.1()(64bit) is needed by mysql-community-server-5.7.29-1.el7.x86_64
- 如何将zlib,gzip和zip相关联?它们有什么共同之处,它们有何不同?
- 【面试题7】用两个栈实现队列
- Freeswitch拨号响应太慢的解决办法
- Atitit 文档全文索引的索引种类 用于文本数据挖掘 搜索 数据分析 目录 1.1. Txt摘要索引。。 1 1.2. File placeholder 索引 1 1.3. Lucence索引 1
- Python之函数传参
- 首届百度Apollo生态大会为什么选择长沙?
- 《数字图像处理》冈萨雷斯,Matlab函数汇总 .
- SQL语言(一)数据查询
- 湖大OJ-实验A---- ADFA的可判定性
- Trainmaster One Hundred Twenty
- 诺基亚两年裁员11044人,中国幅度最大达3500人