精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

在對最近的網絡釣魚攻擊進行分析時我們發現，攻擊者開始使用 PowerPoint 自定義操作來代替宏觸發惡意 Payload。雖然使用 PowerPoint 附件并不新鮮，但這種攻擊還是很有趣的，因為他們可以繞過 Office 附件啟用宏的控制器。

1. 攻擊者創建一個新的 PowerPoint 文檔并插入惡意腳本或可執行文件。插入的文件會被嵌入為一個 OLE 對象中。

2. 自定義操作設置為進行“上一張”操作并自動觸發“活動內容”來執行嵌入的 OLE 對象。

3. 最后將文檔保存為 PowerPoint 放映文件，這樣當文件被打開時就會立刻進入放映視圖。

當用戶打開演示文檔時，文檔會進入放映視圖并開始播放第一張幻燈片，這樣就會觸發自定義操作來執行嵌入的惡意 Payload。當執行嵌入內容時，用戶會收到一個安全警告詢問是否要打開/執行文件。

在我們發現的樣本中，腳本被命名為 Powerpoint.vbe 來誘使用戶執行惡意的 Payload。

在分析演示文檔的內容后，我們很明顯的發現攻擊者采用了一系列的方法來隱藏腳本。首先，使用一幅看起來像是幻燈片頭部的圖片蓋住嵌入式對象的圖標，我們可以很容易的將這幅圖像移開來開展進一步的檢測。

默認情況下，被插入的對象會存儲在文檔的 ppt/embeddings 目錄下并命名為 oleObject1.bin，名字中的數字會隨著嵌入對象數量的增加而增加。

使用工具 psparser.py 我們可以檢查被嵌入文件的文檔中對象的元數據并提取出惡意的 Payload。

這個樣本中嵌入的腳本 (Powerpoint.vbe) 會從 hxxp://secureemail[.]bz/updater.exe 下載并執行文件 “updater.exe”(c098a36309881db55709a759df895803)。

下面這個腳本來源于微軟 TechNet 庫中常用于解碼經過編碼的 VB 腳本：https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB-a480d74c

檢測惡意演示文檔

攻擊者希望利用自定義操作來作為 Payload 的載體需要確保以下兩件事情：

1. 在幻燈片開始播放時操作就會被觸發

2. 操作會執行被嵌入的 Payload

此外，攻擊者常常也會混淆 Payload 的名稱以誘使用戶點擊執行。而我們的防御者也可以結合這個特點來幫助識別惡意的演示文檔。

為了能讓演示文檔打開后自動開始播放，攻擊者需要將文檔保存為 PowerPoint 播放文檔(ppsx)，這樣 [Content Types].xml 文件會被定義如下：

application/vnd.openxmlformats-officedocument.presentationml.slideshow

注：攻擊者可以通過重命名為傳統的 .pps 擴展名來繞過包含這個內容類型，這樣當文檔被打開時會直接進入幻燈片播放視圖，盡管文檔并不是二進制文檔類型。而在重命名為現代的 .ppsx 擴展名時會導致 PowerPoint 拋出一個錯誤。

攻擊者還需要嵌入在被觸發時可以被執行的內容，這往往是一個腳本或可執行文件。所有這些要插入的文件都會被 packager.dll 作為一個 OLE 對象嵌入到演示文檔中。

默認情況下，被嵌入的對象會被包含在 graphicFrame 中并被幻燈片里 XML 標記的一個 oleObj 節點所引用。注意：如果攻擊者修改了輸出，則 oleObj 標簽還可以包含其他對象，即同時包含嵌入標識和被嵌入的對象。

這種情況下，被嵌入的內容為一個腳本或可執行程序，其 progId 為 Package 表示本地服務不會處理這個對象內容。

過去，攻擊者常常會對在傳統的 Office 文檔(二進制復合文檔)中插入的內容進行混淆，而現代的 Office 文檔(OpenXML 文檔)則是基于 XML 標記語言的，可以很容易的被研究者進行分析。相比之下，傳統的格式是一個由若干 OLE 流組成的二進制文檔，這在 MS-PPT 的官方文檔中有具體說明

官方說明大約有650頁，幸運的是我們不需要全部看完，只需要了解 OLE 對象是如何被引用及如何被存儲的即可。

通過結合官方文檔分析樣本得出以下記錄類型被用于引用或鏈接 OLE 對象。

樣本存在 RT_ExternalOleEmbed 容器及原子類型 RT_ExternalOleEmbedAtom 和 RT_ExternalOleObjectAtom 表示樣本內有被嵌入的內容或鏈接的 OLE 對象，這強烈表示樣本可能存在問題，需要被進一步進行關于是否包含惡意內容的分析。

事件相應

以下主要指標可以用于幫助識別可能的感染，防御者也可以使用 Yara 規則來幫助識別惡意的文檔。

樣本哈希值

d7c6e591c0eb1e7ab23c036fd1c93003

2968fb5744433a7a8fabf65228f57801

f4abbd6f97f035cfadd43962ee5c0e20

主要網絡指標

hxxp://secureemail[.]bz/updater.exe

c098a36309881db55709a759df895803

hxxp://secureemail[.]bz/pending.exe

982a2161673245c3eaa80313238f4037

對現有 PhishMe Triage 的客戶我們使用如下規則進行檢查惡意文檔：

PM_PPT_With_OLEObject

PM_PowerPoint_Show_Embedded_OLE

PM_PowerPoint_Single_Slide_Presentation

總結

這是另一中攻擊者如何利用現有的應用特性繞過安全控制的例子。攻擊者使用幻燈片動畫和自定義操作代替宏來觸發嵌入的 Payload。此外，不同于傳統的使用宏，用戶不需要進行操作允許執行腳本語言，取而代之是讓用戶確認他們想運行 Payload。這就為攻擊者提供了更多的選擇來偽造可執行文件或腳本的名字，以達到最終欺騙用戶的目的。