您现在的位置是:主页 > Web前端技术 > Web前端技术

利用Excel 4.0宏躲避杀软检测的攻击技术分析是怎样的编程语言

IDCBT2022-01-12服务器技术人已围观

简介这篇文章主要为大家分析了利用Excel 4.0宏躲避杀软检测的攻击技术分析是怎样的的相关知识点,内容详细易懂,操作细节合理,具有一定参考价值。如果感兴趣的话,不妨跟着跟随小编

这篇文章主要为大家分析了利用Excel 4.0宏躲避杀软检测的攻击技术分析是怎样的的相关知识点,内容详细易懂,操作细节合理,具有一定参考价值。如果感兴趣的话,不妨跟着跟随小编一起来看看,下面跟着小编一起深入学习“利用Excel 4.0宏躲避杀软检测的攻击技术分析是怎样的”的知识吧。

前言

2018年10月18日,360威胁情报中心首次捕获到一例利用Excel 4.0宏传播Imminent Monitor远控木马的在野攻击样本。而这离2018年10月6日国外安全厂商Outflank的安全研究人员首次公开使用Excel 4.0宏执行ShellCode的利用代码仅仅过去了10余天。虽然Excel 4.0宏技术已经发布超过20年,并且在该技术出现早期就被经常用于制作宏病毒,但事实上,由于Microsoft很早就使用VBA宏(Visual Basic for Applications)来代替Excel 4.0宏技术,这导致Excel 4.0宏并不为大众所熟知。并且由于Excel 4.0宏存放在Excel 97 - 2003格式(.xls,复合二进制文件格式)的Workbook OLE流中,这使得杀毒软件解析并检测Excel 4.0宏变得非常困难。

360威胁情报中心详细分析了Excel 4.0宏在Excel文档中的存储方式,并通过深入研究发现:在使用一些技巧隐藏Excel 4.0宏并配合执行一些经过特殊处理的ShellCode后,可以完美的躲避几乎所有杀毒软件的静态和动态查杀 并执行任意恶意代码。由于基于Excel 4.0宏的新型利用技术已经被公开,且已经出现了利用该技术传播远控木马的在野利用,所以360威胁情报中心发布该分析报告并提醒预防此类攻击。

极强的免杀能力

360威胁情报中心通过深入分析Excel 4.0宏在复合二进制文件格式中的存储方式,构造了可以执行远程任意恶意代码的Exploit样本。经测试,国内外多款著名杀毒软件均无法对这类样本实现查杀:

卡巴斯基静态免杀

卡巴斯基动态免杀

ESET-NOD32静态免杀

ESET-NOD32动态免杀

POC分析

Outflank的安全研究人员公开的POC样本在VirusTotal上查杀效果如下,截止目前未有杀软可以查杀,如果配合一些特殊的技巧还可以躲过杀软的动态查杀:

执行过程分析

下图是Outflank的安全研究人员给出的测试Excel4.0宏的样本内容:

由于第一行第一列单元格名称被设置成“Auto_Open”,所以当打开此表格并点击了启用宏内容按钮时,Excel将会自动将此表格中的内容当成Excel 4.0宏执行。如果需要分析其执行过程,可以选中第一行第一列数据,右键选择“执行”菜单:

然后在弹出的对话框中“位置”处选择本Excel文件,然后点击“单步执行”按钮:

最后在弹出的对话框中可以看到公式内容,以及“单步执行”、“单步跳过”、“求值”等按钮:

从调试过程来看,Excel首先执行第一行第一列中的宏代码,即=EXEC(“calc.exe”),该指令执行完成后将会弹出计算器,同理可调试剩余两个公式,以下是三个公式的具体含义:

标签:

很赞哦! ()

本栏推荐