漏洞介绍
受影响的平台:Windows;
受影响的用户:使用Windows的所有用户;
影响:远程控制受害者的计算机、信息窃取、按键记录器;
严重级别:高;
FortiGuard Labs观察到NetWire RAT(远程访问木马)在过去几年中广泛传播。通过分析NetWire样本,NetWire RAT的重点是窃取凭据信息、按键记录和窃取硬件信息(包括硬盘驱动器、网卡和类似组件)。去年,FortiGuard实验室捕获了NetWire RAT变体。
NetWire是一种商业软件应用程序,在https[:]//www.[]worldwiredlabs[.]com/网站上销售,其NetWire基础版售价为120美元。
在网站上出售的NetWire
几天前,FortiGuard Labs从野外采集了一份新的Excel样本。我对此进行了深入分析,发现它正在使用Excel 4.0 宏传播新的NetWire RAT变体。在本文中,我们将研究此Excel 4.0 宏在Excel文件中的执行方式,如何在受害者的系统上安装NetWire RAT,以及此NetWire RAT变体安装后的实际作用。
Excel 4.0宏及其用途
这是我第一次看到使用Excel 4.0宏将NetWire RAT传播到Excel文件中。因此,了解Excel 4.0 宏非常重要
Excel 4.0于1992年发布,并在Window 3.1上执行。 Excel 4.0包含宏的早期版本,其代码语句使用如下所示的公式语法: (“=SUM(A1,A2)”)。这种宏称为Excel 4.0宏,带有Excel 4.0 宏的Excel文件保存在扩展名为 “.xlm” 的文件中,这就是为什么Excel 4.0 宏也称为XLM 宏的原因。
Excel 5.0在1993年发布后,便开始使用VBA宏(Microsoft Visual Basic for Applications)替换Excel 4.0宏。但是,为了向后兼容,所有更高版本的Microsoft Excel仍支持Excel 4.0宏(XLM)。
当你在更高版本的MS Excel中插入新工作表时,仍然可以选择一个名为"MS Excel 4.0 Macro"的项目。这是唯一可以运行Excel 4.0 宏的工作表类型,尽管你可能不像VBA 宏那样熟悉Excel 4.0 宏,奇热但它经常用于传播多种恶意软件。
使用Excel 4.0 宏有什么好处?
首先,它可以绕过大多数病毒检测,可能是由于该技术已经非常古老(到现在已经28年了),并且在当今很少使用,大多数防病毒引擎无法检测到它,并且将带有恶意Excel 4.0 宏的Excel文件视为干净文件,注意:FortiGate防病毒软件可以检测到恶意的Excel 4.0宏。不过,无法调试Excel 4.0宏。这是因为Microsoft从未为其提供调试功能。这给安全分析师检查复杂的Excel 4.0 宏代码带来了巨大的挑战。由于这些挑战,许多网络犯罪分子认为,使用恶意的Excel 4.0 宏可以提高其恶意软件的感染率。
分析捕获的Excel示例
捕获的Excel文件称为“1040 W2 IRS letter.xls”
最低0.47元/天 解锁文章
扫一扫
333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
