使用Word文档的新攻击指纹用户

  • 时间:
  • 浏览:27
  • 来源:it300
使用Word文档的新攻击指纹用户 卡巴斯基实验室的安全研究人员发现,新近详细的攻击方法利用Microsoft Word文档收集用户信息,但不使用宏,漏洞利用或任何其他活动内容。

发布作为网络钓鱼电子邮件的附件,这些文档采用OLE2格式,并包含指向第三方Web资源上的PHP脚本的链接。一旦用户打开Microsoft Office中的文件,应用程序就会访问其中一个链接,导致攻击者接收有关计算机上安装的软件的信息。

分析的文档包含有关如何使用的提示谷歌搜索更有效,似乎并不可疑,特别是因为它不包含活动内容,嵌入式Flash对象或P.电子文件。但是,只要用户打开文档,Word就会向内部链接发送GET请求。

“此代码有效地将受害计算机上安装的软件信息发送给攻击者,包括有关哪个版本的信息安全研究人员表示安装了Microsoft Office,

安全研究人员发现该文档使用了未记录的Word功能,其中使用了INCLUDEPICTURE字段。此字段表示图像附加到文本中的某些字符,但攻击者使用它在其中包含可疑链接,但不是Word所解决的URL。

虽然Word文档中的文本存储在在原始状态中,所谓的字段用于指示应该以何种方式呈现文本的部分。特定字节表示原始文本结束且字段INCLUDEPICTURE开始,分隔符和结束字节也与字段相关联。

在分析文档中,分隔符和结尾之间的字节表示应在此处插入图像。在使用图片占位符定位字节序列之后,研究人员得出结论,图像应该位于数据流中。偏移结果是一个表格,它的名字是另一个可疑的链接。

因为链接只是一个对象名称,它没有以任何方式使用,但标志的组合用于表示附加数据应附加到表单。研究人员称,这些数据“构成了一个导致表格实际内容的网址。”

[123'一个'不要保存'标志阻止内容在打开时保存到实际文档中。

卡巴斯基研究人员说,问题是“Microsoft Office文档基本上没有提供INCLUDEPICTURE字段。“他们无法找到有关分隔符后面的数据可能含义的信息,以及如何解释它,这是尝试理解文档如何跟踪URL时的主要问题。

[

“这是一个复杂的机制,坏人已经创建了一个复杂的机制来对目标攻击的潜在受害者进行剖析。换句话说,他们进行了严格的深入调查,以便在他们进行有针对性的攻击时不被发现,“卡巴斯基说。

这个Office功能存在于Word a中研究人员发现,Windows,Microsoft Office for iOS和Microsoft Office for Android。但是,LibreOffice和OpenOffice没有它,这意味着使用这些应用程序中的任何一个打开的Word文档都不会调用恶意链接。

相关:Office的OLE杠杆隐藏恶意代码

相关:宏恶意软件Dridex,Locky使用表单隐藏代码

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01