預設的MS-Outlook功能,還未打開郵件就導致自動開啟夾檔而中毒?!!

2019年第一季國際的威脅情報網路上,研究團隊發現一個非常有趣的案例,這個案例有益打破一個制式化的資安觀念:只要不打開郵件的附檔,就什麼事情也不會發生了。

案例中惡意檔案本身是一個Word文件並通過電子郵件發起一個網路魚叉攻擊。如果用戶點開該文件,則會下載有效負載(Payload)在用戶的後台上自動運行。到目前為止,並沒有什麼特殊的地方,這種感染方式是常見用以規避閘道NGAV的攻擊手法。

這個事件不尋常的原因有三個。首先,用戶無需打開文檔即可觸發惡意文件。其次,如果文件標記為ADS安全區標識符為3(ADS security Zone identifier =3, 意味著該文件來自不可靠的位置),它仍然有效被開啟。最後,它的負載成功規避了某些AV API掃描。在這篇文章中,我們會先討論第一個原因,其他部分由後續文章詳加說明其他攻擊的部分。

對於那些希望更深入了解的人來說,惡意文檔的Hash值是:

3FEA120D39B1F0B63DC6A73D0EE2D197169FC765DD5B1EAFC5658C6799D4B00F

如何在不打開文件的情況下感染?

簡短的回答是 – 文檔預覽!在Windows資源管理器或Outlook中顯示所有文檔時,右側(或下方,根據您的選項設定)有一個“預覽”窗格,可以為您提供文檔外觀的小圖像。這是一個方便的可用性功能,但從安全角度來看也存在問題 – 為了創建瀏覽暫存,會直接解析文件的內容。微軟仍然保留一定的安全性。例如,所有巨集都將被關閉,我們幾乎沒看過預覽中觸發巨集的攻擊。

我們使用了真正的環境還原了這個攻擊,Windows資源管理器預覽中突出顯示並打開文件時觸發此攻擊(是的,我們使用了工作上NB電腦上觸發了惡意病毒,但它在我們的瀏覽安全容器Ceedo中隔離,所以完全無法危害到系統環境)。由於微軟禁用了預覽中的巨集程式,因此我們得出的結論是,此攻擊並未使用Word本身的巨集,這確實不常見。從上面的圖像中,您可以注意到PowerShell正在Explorer Preview窗格中執行,這不是我們經常看到的攻擊模式。

此相同的可執行文件用於Outlook中的附加檔案預覽,它會導致相同的行為。如果Outlook在Office預覽中加載附件,則攻擊將運行。用戶永遠不需要直接打開附件,就直接遭受文件裡的惡意攻擊而不知道問題從何而來。

如需更多詳細資訊,請聯絡數位資安。

Posted in 新聞, 產品新知 and tagged , , , , , , , , , , , , , , , , , , , , , , .