为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

新型攻击利用Excel表格启动恶意软件Loki Bot窃取密码

2017-12-26 01:58| 投稿: lofor |来自: 互联网

摘要: 网络安全公司Lastline2017年12月初发现一种利用Office Excel表格的新型攻击技术,且最近刚扩展到其它Office应用程序。研究人员发现一种新型恶意Office Excel文件,该文件可以下载并执行恶意软件,但该文件中并无宏、 ...

网络安全公司Lastline2017年12月初发现一种利用Office Excel表格的新型攻击技术,且最近刚扩展到其它Office应用程序。研究人员发现一种新型恶意Office Excel文件,该文件可以下载并执行恶意软件,但该文件中并无宏、shellcode或者DDE代码的蛛丝马迹。且当研究人员提交文件到Virustotal(提供免费的可疑文件分析服务的网站)上扫描后,只有三款反病毒软件将其定义为恶意,因此这是一种针对Excel表格的新型攻击技术。

攻击与Payload

当用户打开这个Excel文件时,会弹出一个对话框,提示“需要更新工作簿(workbook)中的外部链接”。

外部链接(external links)

是微软Office的一个功能,作者可以通过外部资源链接来共享Office文档,无需将这些资源直接嵌入文档中,这样可以使整个文档的体积更小,更新起来也更加灵活。

从这个角度来看,这种攻击看起来与DDE攻击方法非常类似,DDE攻击是最近比较流行的Office文件利用技术,通过微软的动态数据交换(Dynamic Data Exchange)功能来执行外部代码。

一旦用户同意更新链接,该文档就会立即创建cmd/PowerShell进程,该进程会下载并执行下一阶段载荷(exe文件):执行恶意软件。

鉴于只有三款软件检测到此类攻击,因此哪怕扫描到Excel感染也被认为是误报,可能不会进一步调查或予以补救。研究人员确认后发现,Excel脚本程序传送的Payload为Loki(一款臭名昭著的“凭证窃取”恶意软件)。

对于大多数安全响应团队而言,这是双重打击。首先,低检测率会让安全团队以为是误报。其次,即使他们发现了Loki,缓解方式常常被错误执行。当后续的威胁攻击者使用泄露的凭证取得未经授权的访问权并试图横向移动时,受害者容易遭遇二次“无恶意软件”攻击。



研究人员 12月10日将该恶意Excel脚本程序提交到Virustotal扫描,60款反病毒工具中有12款软件将其检测为威胁。日志追踪后发现名为“_output23476823784.exe”的文件,约50%的检测引擎将该文件识别为恶意文件。
绝大多数反病毒软件将_output23476823784.exe Payload标记为木马,这表明它是一个Trojan.Generic Payload。

此Payload的真身:Loki Bot 

行为智能(Behavioral Intelligence)进一步将存疑的Payload识别为Loki bot。

图:Loki在黑市的广告宣传

Loki的宣传视频显示,它能捕获各种应用程序的凭证,尤其FireFox(47%的被盗凭证)和Chrome(41%),Windows和电子邮件凭证仅占1%-3%。

一旦窃取了受害者的凭证,Loki会显示易遭遇身份盗窃攻击的网站,包括社交媒体网站、支付门户网站、比特币钱包,甚至一个摩洛哥政府登录页面。

恶意软件LokiBot

2017年11月,由“BankBot”演变而来的恶意软件“LokiBot”,被称为是首个“变形金刚”式的Android 恶意软件,因为与其他银行劫持木马相比“LokiBot”具备其独特功能,可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代理和SSH隧道,进行企业内网数据渗透。 

“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新,诱导用户安装。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。

1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

最新

返回顶部