0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

黑客通过生成Excel文件绕过系统的安全检测,进行网络攻击

如意 来源:FreeBuf 作者:Sandra1432 2020-09-08 10:49 次阅读

Excel文档是十分常见的办公软件,一旦被黑客盯上,足以让大批量的用户中招。用相同的Excel文档混淆用户视线,表面“波澜不惊”,实则“暗藏危机”。

近期,NVISO Labs的安全研究人员发现一个新型恶意软件团伙利用一个新威廉希尔官方网站 生成Excel文件,无需使用Microsoft Office即可创建包含大量宏的Excel工作簿,这些恶意Excel文件比较难被检测到,可绕过系统的安全检测。

该恶意组织团伙名为“Epic Manchego”,自6月起,一直有所动作,主要活动是在世界范围内,向企业发送带有恶意Excel的网络钓鱼邮件。

这些Excel文件暗藏“猫腻”,不是人们使用的常规的表格文件,它们可绕过安全扫描程序,检测率较低。

恶意表格文件由EPPlus编译

这些恶意Excel文件也是“出身不凡”,它们并不是在常规的Microsoft Office软件中编译的,而是在带有EPPlus的.NET库中编译的。开发人员会使用该库来添加“导出为Excel”或“另存为电子表格”的功能,简单来说,可用来生成多种电子表格格式的文件,甚至支持Excel 2019。

“当我们注意到恶意文件没有经过编译的代码,并且也缺少Office元数据时,我们很快想到了EPPlus。该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。

Epic Manchego利用该库中的EPPlus来生成Office Open XML(OOXML)格式的电子表格文件。Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码专门用于在Microsoft专有Office软件中编译的Excel文档。

OOXML文件格式是一种开放包装约定(OPC)格式:一种ZIP容器,主要包含XML文件,可能还包含二进制文件。它最初是由Microsoft在Office 2007发行版中引入的。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。

使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。EPPlus没有创建编译代码的方法:创建编译VBA代码的算法是Microsoft专有的。

杀毒软件则是通过查找VBA代码这一部分来实现恶意Excel文件检测功能,由此可以解释为什么Epic Manchego生成的恶意Excel文件检测率低于其他恶意Excel文件了。

已编译的VBA代码可以存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码,该格式也受到密码保护,以防止安全系统和研究人员分析其内容。

黑客通过生成Excel文件绕过系统的安全检测,进行网络攻击

尽管生成恶意Excel的文件的方式不同,但是由EPPlus生成的电子表格仍然可以像正常Excel文档那样工作。这让用户很难辨别和发现Excel表格的异样了。

自6月起,该恶意文档的运营商开始活跃,其中包含恶意宏脚本。如果打开Excel文件的用户允许执行脚本(通过单击“启用编辑”按钮),那么宏将在目标用户的系统中下载并安装恶意软件。

下载的恶意程序大多是那些经典的窃密木马,比如Azorult、AgentTesla、Formbook、Matiex、和njRat,这些木马程序可以将用户浏览器、电子邮件和FTP客户端的密码转储,并将这些发送到Epic Manchego的服务器中。

安全研究团队NVISO表示,他们发现了200多个链接到Epic Manchego的恶意Excel文件,第一个可追溯到今年6月22日。

黑客通过生成Excel文件绕过系统的安全检测,进行网络攻击


责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 黑客
    +关注

    关注

    3

    文章

    284

    浏览量

    21861
  • Excel
    +关注

    关注

    4

    文章

    218

    浏览量

    55526
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23452
收藏 人收藏

    评论

    相关推荐

    龙芯3A5000网络安全整机,助力保护网络信息安全

    在当今互联网信息普及的时代,我们的网络安全问题更加突显。个人信息泄露、病毒软件侵占、黑客攻击网络安全问题日益增多。想要解决这个问题,就得更加发展我们的防护科技。
    的头像 发表于 12-23 09:59 37次阅读

    蓝牙AES+RNG如何保障物联网信息安全

    引入由随机数生成器产生的随机数作为时间戳或序列号,系统能够识别并拒绝重复使用的旧消息,从而防止攻击者利用历史信息进行欺诈。此外,随机数生成
    发表于 11-08 15:38

    国产网络安全主板在防御网络攻击中的实际应用

    在现代信息威廉希尔官方网站 迅猛发展的背景下,网络安全问题变得越来越复杂和严峻。从企业到个人用户,各类网络攻击事件频繁发生,威胁着数据的安全系统的稳定。
    的头像 发表于 09-18 10:47 299次阅读

    IP定位威廉希尔官方网站 追踪网络攻击源的方法

    线索我们可以一路追查,最终定位到攻击源头。 IP定位威廉希尔官方网站 的工作流程 数据收集 通过网络安全设备,例如入侵检测系统IDS/IPS的实时监测与分
    的头像 发表于 08-29 16:14 414次阅读

    鉴源实验室·HTTP协议网络安全攻击

    、下载文件等。然而,HTTP 的普及也使其成为黑客攻击的主要目标之一。HTTP 协议本身是无状态的,这种特性虽然
    的头像 发表于 07-30 13:48 321次阅读
    鉴源实验室·HTTP协议<b class='flag-5'>网络安全攻击</b>

    如何进行IP检测

    排查网络连接问题,并及时的防范潜在的网络攻击。 那么,如何进行 IP 地址检测呢?接下来我将进行
    的头像 发表于 07-26 14:09 539次阅读
    如何<b class='flag-5'>进行</b>IP<b class='flag-5'>检测</b>

    AMD遇黑客攻击,但称运营无大碍

    近日,科技圈传来一则震惊的消息:全球知名的半导体制造商AMD公司遭遇了黑客组织的攻击。据悉,一个名为Intelbroker的黑客组织成功入侵了AMD的系统,并盗取了包括未来产品详细信息
    的头像 发表于 06-24 11:00 516次阅读

    CISA紧急公告:需尽快修补微软Windows漏洞以应对黑客攻击

    网络安全形势日益严峻的今天,美国网络安全和基础设施安全局(CISA)于6月14日发出了一份紧急公告,要求美国联邦教育、科学及文化委员会下属的各机构在短短三周内,即截至7月4日,必须修补微软Windows 10和Windows
    的头像 发表于 06-15 14:47 714次阅读

    环球晶遭黑客攻击

    6月14日消息,环球晶6月13日发布公告,称部分资讯系统遭受黑客攻击,目前正积极会同威廉希尔官方网站 专家协助调查和复原工作。环球晶表示,少数厂区部分产线受到影响,将会先使用库存出货因应,若有不足,有的可能要延迟
    的头像 发表于 06-14 16:27 524次阅读
    环球晶遭<b class='flag-5'>黑客</b><b class='flag-5'>攻击</b>!

    如何保护SCADA免受网络攻击

    随着信息威廉希尔官方网站 的飞速发展,数据采集与监视控制(SCADA)系统在工业控制领域中的应用越来越广泛。然而,由于其重要性日益凸显,SCADA系统也成为了网络攻击者的重点目标。为了保护SCADA
    的头像 发表于 06-07 15:20 484次阅读

    微软Windows快捷助手被黑客滥用,远程管理软件或成攻击突破口

    安全公司指出,此次攻击可能出自勒索软件黑客组织Black Basta之手。自四月中旬以来,他们通过网络钓鱼手段诱使受害者开启快速助手并输入
    的头像 发表于 05-16 16:27 773次阅读

    “五一假期将至:您的企业网络准备好抵御黑客攻击了吗?”

    一、节假日期间导致企业网络安全事件频发的原因 1.企业防护方面: 员工休假导致安全漏洞:节假日时,企业员工通常会放假导致企业的网络安全人员配置减少,对网络安全的监控和响应能力下降。
    的头像 发表于 04-26 17:46 618次阅读

    虹科干货 | 长文预警!使用ntopng和NetFlow/IPFIX检测Dos攻击(上)

    本文深入研究了网络DoS攻击的现象,并介绍了如何利用NetFlow协议进行威胁检测和分析。通过使用工具如Ntopng和Wireshark,我
    的头像 发表于 04-15 16:04 393次阅读
    虹科干货 | 长文预警!使用ntopng和NetFlow/IPFIX<b class='flag-5'>检测</b>Dos<b class='flag-5'>攻击</b>(上)

    趋势科技报告揭示黑客利用Windows Defender SmartScreen漏洞进行恶意软件分发

    这起事故被编号为CVE-2024-21412,出现在Windows Defender SmartScreen之中的一项漏洞,攻击者透过生成特定文件,轻易绕开微软系统的严密
    的头像 发表于 03-14 09:48 454次阅读

    国内首个生成式人工智能安全威廉希尔官方网站 文件发布,燧原科技深度参编

    近日,全国网络安全标准化威廉希尔官方网站 委员会(TC260)正式发布了《生成式人工智能服务安全基本要求》(以下简称《基本要求》),是国内首个面向AIGC服务安全领域的威廉希尔官方网站
    的头像 发表于 03-12 10:35 699次阅读
    国内首个<b class='flag-5'>生成</b>式人工智能<b class='flag-5'>安全</b>威廉希尔官方网站
<b class='flag-5'>文件</b>发布,燧原科技深度参编