網絡安全公司Lastline2017年12月初發現一種利用Office Excel表格的新型攻擊技術，且最近剛擴展到其它Office應用程序。研究人員發現一種新型惡意Office Excel文件，該文件可以下載并執行惡意軟件，但該文件中并無宏、shellcode或者DDE代碼的蛛絲馬跡。且當研究人員提交文件到Virustotal(提供免費的可疑文件分析服務的網站)上掃描后，只有三款反病毒軟件將其定義為惡意，因此這是一種針對Excel表格的新型攻擊技術。

攻擊與Payload

當用戶打開這個Excel文件時，會彈出一個對話框，提示“需要更新工作簿(workbook)中的外部鏈接”。

外部鏈接(external links)

是微軟Office的一個功能，作者可以通過外部資源鏈接來共享Office文檔，無需將這些資源直接嵌入文檔中，這樣可以使整個文檔的體積更小，更新起來也更加靈活。

從這個角度來看，這種攻擊看起來與DDE攻擊方法非常類似，DDE攻擊是最近比較流行的Office文件利用技術，通過微軟的動態數據交換(Dynamic Data Exchange)功能來執行外部代碼。

一旦用戶同意更新鏈接，該文檔就會立即創建cmd/PowerShell進程，該進程會下載并執行下一階段載荷(exe文件)：執行惡意軟件。

鑒于只有三款軟件檢測到此類攻擊，因此哪怕掃描到Excel感染也被認為是誤報，可能不會進一步調查或予以補救。研究人員確認后發現，Excel腳本程序傳送的Payload為Loki(一款臭名昭著的“憑證竊取”惡意軟件)。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

對于大多數安全響應團隊而言，這是雙重打擊。首先，低檢測率會讓安全團隊以為是誤報。其次，即使他們發現了Loki，緩解方式常常被錯誤執行。當后續的威脅攻擊者使用泄露的憑證取得未經授權的訪問權并試圖橫向移動時，受害者容易遭遇二次“無惡意軟件”攻擊。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

研究人員 12月10日將該惡意Excel腳本程序提交到Virustotal掃描，60款反病毒工具中有12款軟件將其檢測為威脅。日志追蹤后發現名為“_output23476823784.exe”的文件，約50%的檢測引擎將該文件識別為惡意文件。

絕大多數反病毒軟件將_output23476823784.exe Payload標記為木馬，這表明它是一個Trojan.Generic Payload。

此Payload的真身：Loki Bot

行為智能(Behavioral Intelligence)進一步將存疑的Payload識別為Loki bot。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

圖：Loki在黑市的廣告宣傳

Loki的宣傳視頻顯示，它能捕獲各種應用程序的憑證，尤其FireFox(47%的被盜憑證)和Chrome(41%)，Windows和電子郵件憑證僅占1%-3%。

新型攻擊利用Excel表格啟動密碼竊取惡意軟件Loki Bot-E安全

一旦竊取了受害者的憑證，Loki會顯示易遭遇身份盜竊攻擊的網站，包括社交媒體網站、支付門戶網站、比特幣錢包，甚至一個摩洛哥政府登錄頁面。

惡意軟件LokiBot

2017年11月，由“BankBot”演變而來的惡意軟件“LokiBot”，被稱為是首個“變形金剛”式的Android 惡意軟件，因為與其他銀行劫持木馬相比“LokiBot”具備其獨特功能，可以根據不同目標環境發起相應攻擊，比如主動向用戶設備發起界面劫持、加密用戶設備數據，勒索欺詐用戶錢財、建立socks5代理和SSH隧道，進行企業內網數據滲透。

“LokiBot”傳播途徑通過惡意網站推送虛假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等應用更新，誘導用戶安裝。