此前微软已经通过office更新默认禁用来自网络的办公文档中的宏,以前这类宏是黑客的钟爱之一,针对商业用户的钓鱼邮件通常都会制作所谓的订单或者报价信息,诱导用户启用宏,进而执行宏里面包含的恶意脚本。现在这条路已经不太容易走了,所以不少黑客将目标转向 pdf 文档,针对 adobe acrobat 用户们发起钓鱼。
为什么主要是针对 adobe acrobat 呢?因为这款软件在国外非常流行并且具有交互功能,如果只是拿 chrome 打开 pdf,那黑客暗藏的各种交互式恶意代码基本是无法运行的,除非 chrome 的 pdf 引擎也包含漏洞。
这种情况分为两种,第一种是针对包含漏洞的 adobe acrobat reader 这类,第二种则是针对不含漏洞的,那就得用户手动交互。
针对包含漏洞的 adobe acrobat
攻击者一般会精心制作包含恶意代码的 pdf 文档,然后通过电子邮件或其他渠道进行分发,在过时且未安装补丁的 adobe acrobat 上,pdf 直接使用 mshta 执行嵌入的javascript 脚本,然后调用 powershell.exe 执行恶意脚本加载一系列恶意负载并让自己具有持久性,即重启后恶意软件也会跟着重启。整个过程都是自动化的,只需要用户使用 adobe acrobat 打开这个 pdf 文件即可。
针对不包含漏洞的 adobe acrobat
在新版本 acrobat 上 adobe 已经禁用执行 javascript 脚本,为此黑客会通过 pdf 弹出一个对话框要求重定向到外部网站。这个外部网站也会下载 javascript 脚本并命名为具有诱导性的内容,引导用户打开这个 javascript 脚本,执行后也会下载一系列负载。
接下来就是黑客的各种躲避操作了,例如要规避 microsoft defender 的查杀、修改 uac 账户控制相关的注册表项、禁用 windows 防火墙等,当然也包括利用一些方式进行权限提升。
完成这些操作后实际上被感染的设备就已经成了肉鸡,整个设备不存在任何私密性,如果黑客愿意,那么都可以随时获取各种机密数据,比如安插个键盘记录器。
cacter邮件安全专家建议
cacter邮件安全资深信息安全专家表示利用办公软件漏洞进行病毒载荷投放是攻击者较为常用的手段,除adobe acrobat外,office、winrar等许多办公常用软件也曾被攻击者利用低版本漏洞用于投递和加载恶意软件。其特点是需要的用户交互少,自动加载,隐蔽性强。许多个人用户疏于对个人办公软件定期升级,导致很早之前公开的漏洞依然可以被攻击者利用。
对于不利用漏洞,而是通过诱导用户访问外部网站的攻击方式,除了 pdf 文档外,在 pps、doc 等办公文档中也较为常见。这种攻击的特点是,在请求外部资源时会弹出提示框,这就需要考验用户的安全意识了。
cacter邮件安全建议广大用户:
及时更新adobe acrobat、wps、ms office等软件,防止攻击者利用软件低版本漏洞进行攻击;
部署邮件安全网关,加强对恶意邮件的拦截;
提高安全意识,对于pdf、office等文档弹出请求外部资源的提示时需要高度警惕,切勿点击同意;
邮件系统管理员应对员工加强典型案例宣贯,提升员工安全意识。
rss订阅