思科Talos发现攻击者利用ODT(OpenDocument)格式来绕过防病毒引擎。由于ODT被视为归档文件,部分杀毒引擎和沙箱未对其做充分检查,使得恶意软件得以传播。文章列举了三个利用ODT的攻击案例,包括带有OLE对象的ODT文件传播NJRAT和RevengeRAT,以及针对OpenOffice和LibreOffice的StarSuite Basic攻击。这些案例表明攻击者正寻找新的感染途径以逃避检测。
近期,思科Talos观察到利用Office应用程序的开放文档格式(OpenDocument,ODT)来绕过防病毒引擎的攻击行为。ODT是一个ZIP存档,其中包含Microsoft Office等软件使用的基于XML的文件。
杀毒引擎往往将ODT文件视为标准归档文件,并且没有应用与Office文档相同的规则,另外还有一些沙箱也无法分析ODT文档,因为它被认为是归档文件,并且沙箱不会以Microsoft Office文件的形式打开它,因此攻击者可以使用ODT文件来传递通常会被传统杀毒软件阻止的恶意软件。
我们只找到几个使用这种文件格式的示例。大多数使用恶意文档的活动仍然依赖于Microsoft Office文件格式,但是这些案例表明,在未来使用ODT文件格式进行攻击的成功率更高。在这篇文章中,我们将介绍三种使用OpenDocument的情况。前两个案例针对的是Microsoft Office,而第三个案例只针对OpenOffice和LibreOffice用户。我们现在还不知道这些样本是攻击者用于测试还是出于一些特定的恶意目的。
案例研究1:带有OLE对象和HTA脚本的ODT
第一起案例使用了带有嵌入式OLE对象的恶意ODT文档,用户必须单击提示才能执行嵌入对象。如下图所示,攻击者同时了针对说阿拉伯语和英语的用户。
两种情况下,OLE对象都会部署了一个HTA文件并执行:
两个HTA脚本都从ttop4top[.]net上下载一个文件,重庆该网站是一个流行的阿拉伯文件托管平台:
下载的文件都是一个远程管理工具(RAT)。就阿拉伯语而言&
最低0.47元/天 解锁文章
8329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
