安全機構?abuse.ch最近發現了一個惡意軟件傳播活動，該活動正在利用“Black Lives Matter”政治口號傳播僵尸惡意軟件。

黑客故意讓電子郵件的標題簡短客觀，從而有意回避社會或政治立場，而是邀請收件人對此問題進行匿名評論，通過這種吸引用戶的主題，擴大攻擊的范圍。

Sophos旗下的SophosLabs安全研究機構發現的樣本都很有意思，每次都從一個相似的文本字符串列表中隨機選擇主題、正文、附件描述和文件名，奇熱如下所示：

Example?subject?lines:Give?YOUR?Feedback?anonymous?about?"Black?Lives?Matter"Leave?a?review?nameless?about?"Black?Lives?Matter"Speak?out?confidentially?about?"Whose?Lives?Matter"Tell?your?government?your?opinion?nameless?about?"Whose?Lives?Matter"Vote?anonymous?about?"Black?Lives?Matter"Example?email?first?lines:Give?your?opinion?anon?about?"Whose?Lives?Matter"Let?us?know?your?opinion?nameless?about?"Whose?Lives?Matter"Speak?out?confidentially?about?"Whose?Lives?Matter"Tell?your?government?your?opinion?anonymous?about?"Black?Lives?Matter"Vote?anonymous?about?"Black?Lives?Matter"Example?attachment?descriptions:Assertion?includedClaim?in?attached?fileContention?included?Form?in?attached?fileStatement?includedExample?attachment?filenames:e-vote_form_1324.doce-vote_form_32411.doce-vote_form_41429.doce-vote_form_83110.doce-vote_form_9017.doc

下面是一個電子郵件示例，內容隨機，顯示了一般的外觀：

這些黑客沒有對用戶施加任何壓力，他們沒有利用內疚或恐懼等情緒，他們甚至不要求你以自己的名義參與。

但即便這樣，用戶一旦打開該鏈接也會中招！很不幸，我們也中招了，所以必須承認，這種方法很容易讓人上當。

請記住，Word文檔可以包含通常稱為宏的內容，這是用Visual Basic for Applications programming language(簡稱VBA)編寫的嵌入式程序代碼。

宏的問題在于，這個術語聽起來安全無害，這個詞讓人想起了真正簡單的擊鍵記錄器的日子，你可以用它來自動化文字處理器或電子表格中的簡單任務。

但如今的VBA與C、c++、Delphi、Perl、Python或任何與本地安裝和運行的成熟、獨立應用程序相關的編程語言一樣強大，也一樣危險。

VBA需要運行一個Office應用程序（通常是Word，Excel或PowerPoint）才能運行，但是一旦你同意讓VBA代碼從Office文件內部運行，它就可以完全訪問你的計算機，就像VBA程序在Office之外運行一樣。

換句話說，Word文件中的VBA不同于瀏覽器中的JavaScript，沒有沙盒或防護體系來限制它可能造成的危害。

VBA程序可以執行以下所有操作：

·?從互聯網上將任意數據下載到內存中；

·?使用多種加密算法解密或加密數據；

·?在硬盤上創建新文件，或讀入已存儲在硬盤上的數據；

·?修改或刪除硬盤上或整個網絡上的現有文件；

·?直接訪問內存，并將惡意代碼注入Office或其他程序，而無需先將該代碼保存到磁盤；

·?監視擊鍵，截屏，瀏覽網絡流量等等；

這就是為什么微軟在設置Office時默認關閉了宏，這樣你就不會因為打開一個受感染的Office文件而意外運行嵌入的VBA惡意軟件，因為惡意宏會造成很多危害。

事實上，我們經常看到公司內部使用VBA宏作為通過內部可信任的文檔自動執行辦公室工作流的一種方式。這樣，收到的每一份含有宏的電子郵件文件都有可能含有惡意軟件。

如果打開這個怎么辦？

這種攻擊背后的黑客也使用了文檔內部的低壓策略，這給了你信服的理由，讓嵌入式宏運行。

當我們打開abuse.ch報告的樣本時，我們看到了以下內容：

Office有新的更新，它們將在后臺下載，不會中斷你目前的運行。

這聽起來像是你應該注意而不是忽略的建議，黑客甚至有禮貌地提醒你：如果你的互聯網連接受到限制，請小心下載這些資料可能會收取費用。

但這并不是你需要注意的全部，真正的危險來自結尾那些聽起來無害的說明：請按“啟用編輯”，然后在彈出窗口中“啟用內容”。

如你所見，黃色彈出窗口試圖阻止你執行黑客所說的話，警告你出于安全原因禁用宏。

不過，用于激活該文件中惡意宏的按鈕標記為“啟用內容”，我們一直認為它聽起來比實際情況更加安全，好像你現在看到的只是一個預覽。

所以我們的建議是，當你看到“啟用內容”這個詞時，在心里把它們理解成：點擊這個按鈕，將運行一個惡意軟件的嵌入式程序。

如果你點擊進入會發生什么情況

如果你確實運行了此惡意軟件文檔中的宏，你首先看到的是一個類似windows的錯誤信息，包括一個看起來很熟悉的八位代碼：

該錯誤是偽造的（你會在網上搜索到該錯誤），它被稱為“誘餌”，這是解釋為什么承諾的更新無法奏效的合理原因。

實際上，這只是惡意宏中的VBA代碼的簡單一行-MsgBox命令彈出偽造的錯誤消息，此后宏代碼開始工作并解密并運行嵌入式程序（稱為shellcode），該程序使用一種偽裝成奇怪字母的十六進制表示法：

在看到的一長串已編碼的二進制數據中，字母a至p用于表示0到f的十六進制數字，而負號則毫無意義。

這個惡意文件被稱為下載器，當我們允許它運行時，它就會獲取并安裝一種名為“Trickbot”的僵尸惡意軟件?！癟rickBot”銀行木馬最早出現于2016年底，主要通過掛馬網頁、釣魚文檔傳播，進入受害者計算機后竊取計算機中郵箱密碼、瀏覽器中存儲的網站憑證等敏感數據，注入瀏覽器竊取網銀帳戶密碼，盜取受害者資產。過去的“TrickBot”銀行木馬一般通過帶有惡意宏的Office文檔啟動PowerShell應用程序下載載荷到本地執行，這么做會導致載荷文件落地，一旦載荷文件被殺毒軟件查殺攻擊即宣告失敗。經過幾年的發展，TrickBot銀行木馬已經變得高度模塊化，其可以由攻擊者根據目標環境進行配置。

但是，正如名稱中告訴你的“機器人”部分一樣，Trickbot的基本目的是充當機器人代理，它可以執行黑客發出的各種命令，包括告訴機器人下載并安裝一些通用命令的通用命令。其他種類的惡意軟件也經常使用勒索軟件。今年3月，IBM X-Force研究人員發現一款安卓惡意軟件使用TrickBot木馬來感染用戶。該app被命名為TrickMo，可以繞過銀行交易認證所用的雙因子認證和強認證。

這意味著，基于文檔的下載程序的問題在于“他們獲取了什么？”這個問題無法回答，因為提供給下載的文件可以由黑客隨意更改。

緩解措施

1.不要打開你郵件中沒有必要下載的附件，唯一正確的做法就是直接刪掉和置之不理。

2.永遠不要因為文檔告訴你要關閉安全特性而把殺毒軟件關閉，微軟選擇“禁用內容”作為默認選項來保護你不受惡意文檔的傷害，特別是那些告訴你關閉安全特性的不明文檔。

3.尋找具有行為攔截和Web過濾以及純文件掃描功能的防病毒軟件。像這樣的惡意軟件使用的多步驟方法意味著，黑客們在每個階段都只需要付出更少的努力，DOC文件本身不需要內置的完整和最終惡意軟件。但這意味著你可以阻止任何階段的攻擊，而攻擊者必須在所有階段都攻擊成功。如果你有多層防御，你就占了上風。

總結

以上是生活随笔為你收集整理的黑客正利用“Black Lives Matter”政治口号传播恶意软件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。