小心!Word 宏现在也成为骇客渗透的其中一种方式。根据外国资安部落格报导,研究人员发现骇客组织将带有恶意软件的 Word 宏放置在 GitHub 上,一旦下载且执行后,电脑便会运行 PowerShell,自动抓取看似合法的 PNG 图档,借此启动渗透测试工具 Cobalt Strike 发动攻击。
据国外资安部落格 Bleeping Computer 揭露,此一攻击手法或许跟浑水研究(MuddyWater),这个有-支援的骇客组织相关。Bleeping Computer 的研究人员发现,此一攻击手法是将恶意软件植入在 Word 文档的宏之中,当启动Word 档案时,将会运行宏,此时便会进一步启动 PowerShell;而 PowerShell 则会开始从 GitHub 或是 imgur 等合法网站下载 PNG 图片。
▲ Word 宏也成为骇客攻击手段。(Source:Bleeping Computer )
然而,下载 PNG 图片只是个障眼法,事实上则是借此针对 PNG 图片的画素进行运算,以启动原先植入的渗透测试工具 Cobalt Strike;这种在普通文件或是图片中隐藏代码、秘密数据或是恶意有效负载(Malicious Payload)的方式被称为隐写术(Steganography)。
▲ 借由下载图片以执行渗透工具。(Source:Bleeping Computer )
据悉,Cobalt Strike 是由 Raphael Mudge 所开发的渗透及红队演练工具,而最近这几年经常受到骇客的青睐。根据 Cobalt Strike 官网说明,这是个威胁模拟软件,可针对现代化的企业执行目标式攻击,它能够侦测目标电脑上所使用的程式。其攻击封包可执行偷渡攻击、载入Beacon 执行 PowerShell 脚本、将无害档案变成木马、下载档案或其它恶意功能等。
研究人员最后指出,事实上这并不是像 GitHub 和 Imgur 这样的合法服务第一次被滥用来提供恶意代码。过往骇客也经常把勒索软件迁入图片内,放进imgur 诱拐使用者下载,窃取使用者资料;或是伪装成 Word 文件启动;一旦使用者遭感染后,骇客能够在远端控制电脑,并且侧听所有的资讯。
- GitHub-hosted malware calculates Cobalt Strike payload from Imgur pic
(首图来源:群晖科技)
