事件報道

　　根據安全專家的最新發現，Microsoft Excel的舊用戶正成為惡意軟件的攻擊目標。這種惡意軟件攻擊活動使用了一種新的惡意軟件混淆技術來禁用Microsoft Office的安全防御機制，然后傳播和感染Zloader木馬病毒。

　　根據McAfee周四發表的研究報告，這次攻擊結合了Microsoft Office Word和Excel中的功能，以共同下載Zloader Payload，而且不會在終端觸發惡意攻擊警報。

　　Zloader是一種針對銀行的特洛伊木馬，旨在竊取目標金融機構用戶的憑據和其他私人信息。

　　Zloader的初始攻擊向量是基于收件箱的網絡釣魚消息，其中會附帶Word文檔附件，并包含非惡意的代碼。因此，它通常不會觸發電子郵件網關或客戶端防病毒軟件來阻止攻擊。

　　同時，Zloader的宏混淆技術利用Microsoft Office的Excel動態數據交換（DDE）字段和基于Windows的Visual Basic for Applications（VBA）對支持傳統XLS格式的系統發起攻擊。

　　初始感染鏈

　　研究人員通過分析后發現，惡意軟件首先通過包含Microsoft Word文檔作為附件的網絡釣魚電子郵件抵達目標用戶的主機系統。當用戶打開文檔并啟用宏功能時，Word文檔就會下載并打開另一個受密碼保護的Microsoft Excel文檔。

　　接下來，嵌入Word文檔中的基于VBA的指令會讀取精心構建的Excel電子表格單元以創建宏。這個宏將使用附加的VBA宏填充同一XLS文檔中的附加單元格，從而禁用Office的安全防御功能。

　　一旦宏被寫入并準備就緒，Word文檔就會將注冊表中的策略設置為“禁用Excel宏警告”，并從Excel文件中調用惡意宏函數。此時，Excel文件將會下載Zloader Payload，并通過rundll32.exe執行Zloader Payload。

　　混淆機制分析

　　由于Microsoft Office會自動禁用宏功能，因此攻擊者會試圖用出現在Word文檔中的消息欺騙目標用戶以啟用宏功能。

　　消息中會提醒用戶：“此文檔是在以前版本的Microsoft Office Word中創建的。若要查看或編輯此文檔，請單擊頂部欄上的”啟用編輯“按鈕，然后單擊”啟用內容“。”

　　攻擊者可以利用DDE和VBA來實現這個目標，而這兩個功能是標準的微軟工具隨Windows系統提供。

　　DDE是一種在應用程序（如Excel和Word）之間傳輸數據的方法。對于Zloader，惡意軟件會使用Word中的信息更新電子表格單元格的內容。Word文檔可以讀取下載的。XLS文件中特定Excel單元格的內容，然后使用基于Word的VBA指令填充Excel文檔。

　　而VBA則是微軟用于Excel、Word和其他Office程序的編程語言，VBA允許用戶使用宏記錄器工具創建命令字符串。在這種情況下，與VBA的其他濫用案例一樣，Zloader也會利用這種功能來創建惡意宏腳本。

　　Excel將記錄用戶執行的所有步驟，并將其保存為一個名為“process”的宏。當用戶停止操作之后，這個宏將會被保存下來，并且會被分配給一個按鈕，當用戶點擊這個按鈕時，它會再次運行完全相同的過程。

　　禁用Excel宏警告

　　惡意軟件的開發人員通過在Word文檔中嵌入指令，從Excel單元格中提取內容，實現了警告繞過。接下來，Word文件會通過寫入檢索到的內容，在下載的Excel文件中創建一個新的VBA模塊。

　　一旦Excel宏被創建并準備好執行，腳本將修改Windows的注冊表鍵以禁用受害者計算機上VBA的信任訪問。這使得腳本能夠無縫地執行功能，而不會彈出任何的警告。

　　在禁用信任訪問后，惡意軟件將創建并執行一個新的Excel VBA，然后觸發Zloader的下載行為。

　　毫無疑問，惡意文檔一直是大多數惡意軟件家族的初始感染入口，這些攻擊也在不斷演變和升級其感染技術以及混淆技術。因此，我們建議廣大用戶，僅當接收到的文檔來自可信來源時才啟用宏功能，這樣才是安全的。