安全機(jī)構(gòu)?abuse.ch最近發(fā)現(xiàn)了一個(gè)惡意軟件傳播活動(dòng)，該活動(dòng)正在利用“Black Lives Matter”政治口號(hào)傳播僵尸惡意軟件。

黑客故意讓電子郵件的標(biāo)題簡(jiǎn)短客觀，從而有意回避社會(huì)或政治立場(chǎng)，而是邀請(qǐng)收件人對(duì)此問(wèn)題進(jìn)行匿名評(píng)論，通過(guò)這種吸引用戶(hù)的主題，擴(kuò)大攻擊的范圍。

Sophos旗下的SophosLabs安全研究機(jī)構(gòu)發(fā)現(xiàn)的樣本都很有意思，每次都從一個(gè)相似的文本字符串列表中隨機(jī)選擇主題、正文、附件描述和文件名，奇熱如下所示：

Example?subject?lines:Give?YOUR?Feedback?anonymous?about?"Black?Lives?Matter"Leave?a?review?nameless?about?"Black?Lives?Matter"Speak?out?confidentially?about?"Whose?Lives?Matter"Tell?your?government?your?opinion?nameless?about?"Whose?Lives?Matter"Vote?anonymous?about?"Black?Lives?Matter"Example?email?first?lines:Give?your?opinion?anon?about?"Whose?Lives?Matter"Let?us?know?your?opinion?nameless?about?"Whose?Lives?Matter"Speak?out?confidentially?about?"Whose?Lives?Matter"Tell?your?government?your?opinion?anonymous?about?"Black?Lives?Matter"Vote?anonymous?about?"Black?Lives?Matter"Example?attachment?descriptions:Assertion?includedClaim?in?attached?fileContention?included?Form?in?attached?fileStatement?includedExample?attachment?filenames:e-vote_form_1324.doce-vote_form_32411.doce-vote_form_41429.doce-vote_form_83110.doce-vote_form_9017.doc

下面是一個(gè)電子郵件示例，內(nèi)容隨機(jī)，顯示了一般的外觀：

這些黑客沒(méi)有對(duì)用戶(hù)施加任何壓力，他們沒(méi)有利用內(nèi)疚或恐懼等情緒，他們甚至不要求你以自己的名義參與。

但即便這樣，用戶(hù)一旦打開(kāi)該鏈接也會(huì)中招！很不幸，我們也中招了，所以必須承認(rèn)，這種方法很容易讓人上當(dāng)。

請(qǐng)記住，Word文檔可以包含通常稱(chēng)為宏的內(nèi)容，這是用Visual Basic for Applications programming language(簡(jiǎn)稱(chēng)VBA)編寫(xiě)的嵌入式程序代碼。

宏的問(wèn)題在于，這個(gè)術(shù)語(yǔ)聽(tīng)起來(lái)安全無(wú)害，這個(gè)詞讓人想起了真正簡(jiǎn)單的擊鍵記錄器的日子，你可以用它來(lái)自動(dòng)化文字處理器或電子表格中的簡(jiǎn)單任務(wù)。

但如今的VBA與C、c++、Delphi、Perl、Python或任何與本地安裝和運(yùn)行的成熟、獨(dú)立應(yīng)用程序相關(guān)的編程語(yǔ)言一樣強(qiáng)大，也一樣危險(xiǎn)。

VBA需要運(yùn)行一個(gè)Office應(yīng)用程序（通常是Word，Excel或PowerPoint）才能運(yùn)行，但是一旦你同意讓VBA代碼從Office文件內(nèi)部運(yùn)行，它就可以完全訪(fǎng)問(wèn)你的計(jì)算機(jī)，就像VBA程序在Office之外運(yùn)行一樣。

換句話(huà)說(shuō)，Word文件中的VBA不同于瀏覽器中的JavaScript，沒(méi)有沙盒或防護(hù)體系來(lái)限制它可能造成的危害。

VBA程序可以執(zhí)行以下所有操作：

·?從互聯(lián)網(wǎng)上將任意數(shù)據(jù)下載到內(nèi)存中；

·?使用多種加密算法解密或加密數(shù)據(jù)；

·?在硬盤(pán)上創(chuàng)建新文件，或讀入已存儲(chǔ)在硬盤(pán)上的數(shù)據(jù)；

·?修改或刪除硬盤(pán)上或整個(gè)網(wǎng)絡(luò)上的現(xiàn)有文件；

·?直接訪(fǎng)問(wèn)內(nèi)存，并將惡意代碼注入Office或其他程序，而無(wú)需先將該代碼保存到磁盤(pán)；

·?監(jiān)視擊鍵，截屏，瀏覽網(wǎng)絡(luò)流量等等；

這就是為什么微軟在設(shè)置Office時(shí)默認(rèn)關(guān)閉了宏，這樣你就不會(huì)因?yàn)榇蜷_(kāi)一個(gè)受感染的Office文件而意外運(yùn)行嵌入的VBA惡意軟件，因?yàn)閻阂夂陼?huì)造成很多危害。

事實(shí)上，我們經(jīng)常看到公司內(nèi)部使用VBA宏作為通過(guò)內(nèi)部可信任的文檔自動(dòng)執(zhí)行辦公室工作流的一種方式。這樣，收到的每一份含有宏的電子郵件文件都有可能含有惡意軟件。

如果打開(kāi)這個(gè)怎么辦？

這種攻擊背后的黑客也使用了文檔內(nèi)部的低壓策略，這給了你信服的理由，讓嵌入式宏運(yùn)行。

當(dāng)我們打開(kāi)abuse.ch報(bào)告的樣本時(shí)，我們看到了以下內(nèi)容：

Office有新的更新，它們將在后臺(tái)下載，不會(huì)中斷你目前的運(yùn)行。

這聽(tīng)起來(lái)像是你應(yīng)該注意而不是忽略的建議，黑客甚至有禮貌地提醒你：如果你的互聯(lián)網(wǎng)連接受到限制，請(qǐng)小心下載這些資料可能會(huì)收取費(fèi)用。

但這并不是你需要注意的全部，真正的危險(xiǎn)來(lái)自結(jié)尾那些聽(tīng)起來(lái)無(wú)害的說(shuō)明：請(qǐng)按“啟用編輯”，然后在彈出窗口中“啟用內(nèi)容”。

如你所見(jiàn)，黃色彈出窗口試圖阻止你執(zhí)行黑客所說(shuō)的話(huà)，警告你出于安全原因禁用宏。

不過(guò)，用于激活該文件中惡意宏的按鈕標(biāo)記為“啟用內(nèi)容”，我們一直認(rèn)為它聽(tīng)起來(lái)比實(shí)際情況更加安全，好像你現(xiàn)在看到的只是一個(gè)預(yù)覽。

所以我們的建議是，當(dāng)你看到“啟用內(nèi)容”這個(gè)詞時(shí)，在心里把它們理解成：點(diǎn)擊這個(gè)按鈕，將運(yùn)行一個(gè)惡意軟件的嵌入式程序。

如果你點(diǎn)擊進(jìn)入會(huì)發(fā)生什么情況

如果你確實(shí)運(yùn)行了此惡意軟件文檔中的宏，你首先看到的是一個(gè)類(lèi)似windows的錯(cuò)誤信息，包括一個(gè)看起來(lái)很熟悉的八位代碼：

該錯(cuò)誤是偽造的（你會(huì)在網(wǎng)上搜索到該錯(cuò)誤），它被稱(chēng)為“誘餌”，這是解釋為什么承諾的更新無(wú)法奏效的合理原因。

實(shí)際上，這只是惡意宏中的VBA代碼的簡(jiǎn)單一行-MsgBox命令彈出偽造的錯(cuò)誤消息，此后宏代碼開(kāi)始工作并解密并運(yùn)行嵌入式程序（稱(chēng)為shellcode），該程序使用一種偽裝成奇怪字母的十六進(jìn)制表示法：

在看到的一長(zhǎng)串已編碼的二進(jìn)制數(shù)據(jù)中，字母a至p用于表示0到f的十六進(jìn)制數(shù)字，而負(fù)號(hào)則毫無(wú)意義。

這個(gè)惡意文件被稱(chēng)為下載器，當(dāng)我們?cè)试S它運(yùn)行時(shí)，它就會(huì)獲取并安裝一種名為“Trickbot”的僵尸惡意軟件。“TrickBot”銀行木馬最早出現(xiàn)于2016年底，主要通過(guò)掛馬網(wǎng)頁(yè)、釣魚(yú)文檔傳播，進(jìn)入受害者計(jì)算機(jī)后竊取計(jì)算機(jī)中郵箱密碼、瀏覽器中存儲(chǔ)的網(wǎng)站憑證等敏感數(shù)據(jù)，注入瀏覽器竊取網(wǎng)銀帳戶(hù)密碼，盜取受害者資產(chǎn)。過(guò)去的“TrickBot”銀行木馬一般通過(guò)帶有惡意宏的Office文檔啟動(dòng)PowerShell應(yīng)用程序下載載荷到本地執(zhí)行，這么做會(huì)導(dǎo)致載荷文件落地，一旦載荷文件被殺毒軟件查殺攻擊即宣告失敗。經(jīng)過(guò)幾年的發(fā)展，TrickBot銀行木馬已經(jīng)變得高度模塊化，其可以由攻擊者根據(jù)目標(biāo)環(huán)境進(jìn)行配置。

但是，正如名稱(chēng)中告訴你的“機(jī)器人”部分一樣，Trickbot的基本目的是充當(dāng)機(jī)器人代理，它可以執(zhí)行黑客發(fā)出的各種命令，包括告訴機(jī)器人下載并安裝一些通用命令的通用命令。其他種類(lèi)的惡意軟件也經(jīng)常使用勒索軟件。今年3月，IBM X-Force研究人員發(fā)現(xiàn)一款安卓惡意軟件使用TrickBot木馬來(lái)感染用戶(hù)。該app被命名為T(mén)rickMo，可以繞過(guò)銀行交易認(rèn)證所用的雙因子認(rèn)證和強(qiáng)認(rèn)證。

這意味著，基于文檔的下載程序的問(wèn)題在于“他們獲取了什么？”這個(gè)問(wèn)題無(wú)法回答，因?yàn)樘峁┙o下載的文件可以由黑客隨意更改。

緩解措施

1.不要打開(kāi)你郵件中沒(méi)有必要下載的附件，唯一正確的做法就是直接刪掉和置之不理。

2.永遠(yuǎn)不要因?yàn)槲臋n告訴你要關(guān)閉安全特性而把殺毒軟件關(guān)閉，微軟選擇“禁用內(nèi)容”作為默認(rèn)選項(xiàng)來(lái)保護(hù)你不受惡意文檔的傷害，特別是那些告訴你關(guān)閉安全特性的不明文檔。

3.尋找具有行為攔截和Web過(guò)濾以及純文件掃描功能的防病毒軟件。像這樣的惡意軟件使用的多步驟方法意味著，黑客們?cè)诿總€(gè)階段都只需要付出更少的努力，DOC文件本身不需要內(nèi)置的完整和最終惡意軟件。但這意味著你可以阻止任何階段的攻擊，而攻擊者必須在所有階段都攻擊成功。如果你有多層防御，你就占了上風(fēng)。

總結(jié)

以上是生活随笔為你收集整理的黑客正利用“Black Lives Matter”政治口号传播恶意软件的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。