合浦生活用纸本地群

Zyklon恶意软件利用三个Microsoft Office漏洞传播

看雪学院2018-11-08 10:36:17

安全研究人员发现了一个新的恶意软件活动,黑客通过利用微软Office中最近披露的至少三个漏洞,传播一个高级的僵尸网络恶意软件。

 

这款恶意软件被称为Zyklon,功能齐全的Zyklon恶意软件在近两年内再次出现,其目标主要针对电信、保险和金融服务行业。

 

从2016年初开始,Zyklon便活跃起来。其实,它就是一种HTTP僵尸网络恶意软件,通过Tor匿名网络与其命令与控制(C&C)服务器进行通信。Zyklon允许攻击者远程窃取键盘记录,敏感数据(如存储在Web浏览器和电子邮件客户端中的密码)。

 

Zyklon恶意软件还能够执行额外的功能,包括秘密地使用受感染的系统来进行DDoS攻击和加密货币的挖掘。

 

Zyklon恶意软件的不同版本之前被发现在广受欢迎的地下市场上以75美元(普通版本)和125美元(Tor-enabled版本)进行售卖。

 

根据FireEye最近发布的报告指出 ,该活动背后的攻击者利用Microsoft Office中的三个以下漏洞在目标计算机上执行PowerShell脚本,从C&C服务器下载最终有效攻击载荷。

 

1).NET Framework RCE漏洞 ( CVE-2017-8759 )——当Microsoft .NET Framework处理不受信任的输入时,会出现远程执行代码漏洞。这个漏洞允许攻击者通过欺骗受害者来打开通过电子邮件发送的特制恶意文档来控制受害者的系统。微软已经在9月的更新中发布了这个漏洞的安全补丁。

 

2)Microsoft Office RCE漏洞 ( CVE-2017-11882 )——这是微软在11月份修补程序更新中修复的已存在长达17年之久的内存损坏(memory corruption )漏洞。此漏洞允许远程攻击者在目标系统上执行恶意代码,而不需要用户打开任何一个恶意文件。

 

3)动态数据交换协议 ( DDE Exploit )——这种技术允许攻击者利用微软Office的内置功能,称为DDE,在目标设备上执行代码,而不需要启用宏或再利用内存损坏漏洞。

 

正如研究人员所解释的,攻击者正在积极利用这三个漏洞,利用鱼叉式网络钓鱼电子邮件传播Zyklon恶意软件,这些邮件通常会附带一个包含恶意Office文件的ZIP文件。

 

一旦带有这些漏洞之一的恶意文件被打开,就会立即运行一个PowerShell脚本,将最终的有效攻击载荷,即Zyklon HTTP恶意软件下载到受感染的计算机上。

 

FireEye的研究人员说:“在所有这些技术中,都使用相同的域名来下载有效攻击载荷(Pause.ps1),这是另一个Base64编码的PowerShell脚本”。

 

“Pause.ps1脚本负责解析代码注入所需的API,它还包含可注入的shellcode。”

 

“注入的代码负责从服务器下载最终的有效攻击载荷,最后一个阶段的有效载荷是用.Net框架编译的PE可执行文件。”

 

有趣的是,PowerShell脚本连接到一个无点格式的IP地址(例如: http://3627732942 )来下载最终的有效载荷。

 

什么是无点格式的IP地址?无点格式的IP地址(有时称为“十进制地址”)是IPv4地址的十进制值(我们常见的以点分隔IP地址记号)。几乎所有的现代浏览器都会在打开“http://”后跟十进制值的IP地址时将十进制IP地址解析为等效的点分隔的IPV4地址。

 

例如,Google的IP地址216.58.207.206也可以用十进制值表示为http://3627732942。

 

保护自己和组织免受此类恶意软件攻击的最佳方式是对通过电子邮件发送的任何不请自来的文档保持警惕,并且除非充分验证了源文件的安全性,否则请不要点击这些文档中的链接。

 

最重要的是,始终保持软件和系统更新到最新版本。因为黑客利用了Microsoft Office(在这个案例中)的最近发现但已有修补补丁的漏洞,来增加感染成功的可能性。



来源:thehackernews

本文由看雪翻译小组 knowit 编译



往期热门内容推荐

  • 看雪学院招募看雪讲师

  • 一加手机支付系统被黑,用户信用卡信息遭泄露

  • Chrome在线商店惊现 4 款恶意扩展软件,50多万用户受到影响

  • Mirai Okiru:首个旨在感染 ARC CPU 的新型 Linux ELF 恶意软件

更多安全资讯,戳左下角“阅读原文”查看!