至此,恶意SLK文件运行几个简单的命令即可创建恶意安装脚本并开始安装攻击者决定托管的任何软件。
2.2.3 有针对性的方法可绕过Microsoft 365安全检测
由于Windows Office的“受保护的视图”并不适用于从互联网或电子邮件下载的SLK文件,所以Excel不会在只读模式加载它们,并且此类样本专门设计用来绕过Microsoft 365安全性检查(包括其高级威胁防护)的许多混淆技术。
1) 攻击是从数百个免费Hotmail账户发送的,每个账户一次仅发送少量邮件,以绕开微软统计机制;
2) 宏脚本包含“ ^”字符,以使过滤器混淆;
3) 该网址分为两部分,因此其安全性检测不会将其视为网络链接;
4) 发送电子邮件后,托管服务器变为活动状态,因此如果被ATP沙箱化,托管服务器似乎也是无害的;
5) 托管服务器仅响应“ Windows Installer”用户代理,而忽略其他查询。
2.3 样本捕获情况
安天威胁情报系统查询结果可见,恶意SLK代码从2018年开始出现,目前仍在持续传播中,近期出现明显增长趋势,下图为安天对此类恶意样本捕获次数的时间分布图:
图2-5恶意样本捕获分布图
3 安天引擎支撑全线产品精准检测
攻击者一直在不断寻找文件格式与攻击载荷的新组合,除了常见的VBA和利用格式文档溢出、格式执行等漏洞的方式之外,Office为了保持兼容,还支持一些用户不熟悉的文件类型(例如IQY、SLK),这些文件类型大多被遗忘,很少在正常环境中使用。由于Excel支持打开这些文件类型,所以这些在Windows中可以显示为一个熟悉的Excel图标,从而增加受害者的可信度,而由于Windows默认隐藏已知格式文件扩展名,因此用户看不到文件扩展名是xls还是slk。使用Excel打开此类文件后,如果受害者的计算机上启用了DDE(Dynamic Data Exchange,动态数据交换)协议,那么便可以轻松执行恶意代码。正是由于这些Office提供的现在未使用和被遗忘的特性,攻击者可以利用这些特性来创建成功的攻击。这是一种攻防信息的不对称,应用者更多努力适应和寻找新的能力特性;而攻击者寻找向前兼容带入的窗口,一旦找到后,攻击者就可以用很少的代价创建高效的攻击。
安天引擎对各类文件格式实现精确格式识别和预处理,进一步实现病毒精准检测。如针对各类Office复合文档,首先通过快速识别判断对象格式,并对其进行深度拆解,识别并分离出内嵌各种递归对象,如Office中的OLE嵌入块和宏等等。当发现加密混淆内容后,其中一部分可被引擎的解密解压分支,对加密混淆代码进行有效还原,对还原后的代码实现精准检测。如还原失败,则利用启发检测模块实现对混淆代码的快速判定。通过相关样本在VT报警名称的对比,可见安天威胁命名精准、命名易于理解,信息参考价值较高。
图 3-1 安天对恶意SLK文件实现命名精准的检测
安天在过去20年的发展历程中,积累了深厚的威胁对抗底蕴,在十年铸剑自主反病毒检测引擎的基础上,研发了下一代威胁检测引擎。作为安天全线安全产品的“发动机”,深度全面的威胁检测引擎可为产品注入强大的动力。安天下一代威胁检测引擎具有非常高的威胁检出率,配套对威胁提供精准的命名、对应的威胁框架能力标签;既强化了安天产品的基础检测和防御能力,也同时增加了相关的安全知识和威胁情报,成为了安天产品创造安全价值、提供有效防护的“动力之源”。安天产品既有自主引擎所支撑的强大检测能力,同时对标威胁框架,通过大量记录、检测、防御点,构筑立体防御。如应对通过电子邮件传播的SLK文件威胁,安天智甲不仅能进行文件对象检测,同时也对Powershell、等执行入口进行指令分析,实时拦截风险动作。
4 防护建议
安天智甲终端防御系统可有效防护相关威胁对终端的统计,邮件服务器可部署由安天邮件检测插件和追影威胁分析系统组成的邮件安全解决方案。
若有意获取威胁情报推送服务请联络安天全国服务热线:400-840-9234
