四种被遗忘的MS Office功能被用于恶意软件投递

根据微软2016年威胁情报报告，98%的Office目标威胁使用宏来实现的。那么，难道我们就只专注于检测利用宏的威胁吗？当然不是，攻击者都在不断创新。

找到绕过现有安全解决方案的方法，并使恶意软件易于执行，是攻击者的首要任务。

利用漏洞实现代码执行是一种很好的方法，但对于大多数攻击者来说，它们的实现技术太高，而且成本太高。较不常见的文件类型提供了便于攻击者使用的传递方法，不需要受害者采取太多的行动，也可以逃避检测。

如果文件类型尚未被恶意软件广泛使用，那么很有可能安全产品对正确分析文件类型的支持有限。为此，可以利用一些很少使用的Office文件类型和特性来实现此目的。在这篇博文中，我们将重点介绍一些技术，这些技术使用了大多数被遗忘的特性来通过Microsoft Office提供恶意软件。

4种通过Microsoft Office提供恶意软件的技术

除了常见的VBA和利用漏洞的方式之外，Office还支持文件类型，这些文件类型大多被遗忘，通常不会在正常环境中使用。如果Excel支持该文件类型(例如，IQY、SLK)，它将在Windows中显示一个熟悉的Excel图标，从而降低受害者变得可疑，并更有可能打开该文件的可能性。使用Excel打开后，使用DDE(DynamicDataExchange，动态数据交换)协议，如果在受害者的计算机上启用，可以轻松执行代码。

使用对象链接和嵌入(ObjectLinkandEmbedded，OLE)是利用Windows支持的文件类型感染用户计算机的一种常见技术。让受害者打开Word文档要比直接让可执行文件更容易。攻击者面临的问题是Office 2016默认阻止某些文件扩展名的执行。安全研究员MattNelson发现了一种文件类型-SettingContent-MS-它可以执行代码，但不在Office实现的阻止执行黑名单中，因此不会像OLE那样被阻止执行。

另一种滥用Office功能的方法是使用Word或Excel的，众所周知但很少使用的启动路径。如果支持的文件放置在此文件夹中，则将在应用程序下一次启动时自动打开该文件。

1）IQY-Excel Web查询

2）SLK-符号链接

3）启动路径

4）嵌入式设置内容

现在，让我们来看看利用这些投递技术的四个示例。

IQY-Excel Web查询

查看VMRayAnalyzer报告

SHA 256：ca0da220f7691059b3174b2de14bd41ddb96bf3f02a2824b2b8c103215c7403c

Excel Web查询是用于将内容从Web查询并填充到Excel单元格的简单文本文件。这些文件包含一个URL，在Excel中打开该文件后，URL的内容将被下载到工作簿中。从那时起，DDE就可以轻松地执行代码了。

Excel已支持该文件类型超过十年，但公开发布的恶意软件直到5月底才开始使用此技术.

然后在6月初发布了一份详细介绍利用此种方式进行攻击行动的报告:

恶意软件分析: Excel Web Query (iqy)文件下载FlawedAmmyy远控 (VirusTotal5/59)https://t.co/GJAnsfwwOg #infosec18 pic.twitter.com/PCpm3O1Pfe

示例本身非常简单，只是一个文本文件，其中包含要下载的链接。

图1：IQY文件的内容

打开文件时，Excel下载2.dat，并将文件的内容复制到单元格中。

图2：Excel下载下一阶段

图3：下载的2.dat文件的内容

2. dat的内容以=cmd|。这是一个简单的DDE方法，用于简单地获得后面代码执行。管道使用cmd.exe执行后的字符串，并将使用PowerShell下载下一阶段(1.dat)。在执行命令之前，Excel中会弹出警告。

图4：Office 2016的警告

图5: 第二阶段的内容, 1.dat

1.dat是一个简单的PowerShell下载程序，它下载并执行FlawinAmmyy远控。

图6：下载和执行FlawinAmmyy的IQY文件的处理图

SLK-符号链接

查看VMRayAnalyzer报告

SHA 256：3d479d661bdf4203f2dcdeaa932c3710ffb4a8edb6b0172a94659452d9c5c7f0

SLK文件格式是为在电子表格之间交换信息而设计的。与IQY一样，它也是Office支持的另一种格式，它可以与DDE相结合，以一种简单的方式执行代码。尽管该文件的内部文件是无文档的，但可以轻松地修改现有的SLK文件，而不需要了解格式，并且有非正式的文件尝试。

对于攻击者来说，实现代码执行的唯一方法是用动态表达式替换SLK文件中的单元格，比如以“=cmd\”开头的单元格。以下示例(地址)使用此技术开始使用联机XSL。攻击者可以直接在这里下载有效载荷，但可以使用“SquiblyTwo”SubTee技术，利用WMIC实现代码执行的技术。

图7：使用自定义电子表格启动wmic.SLK。

图8：SLK启动WMIC的过程图

启动文件夹

查看VMRayAnalyzer报告

SHA 256：83b0d7926fb2c5bc0708d9201043107e8709d77f2cd2fb5cb7693b2d930378d2

打开Word或Excel时，它们会解析某些文件夹，查找文件，并在默认情况下打开它们。这个特性有很详细的文档记录，一些组织在默认情况下使用它来打开默认的模板。

该特性也可以被恶意软件用作持久化机制或沙箱逃逸技术。技术实施起来简单，就只需将一个文件放到其中一个文件夹中。除非下一次启动相关的Office程序，否则不会打开该文件，沙箱可能不会自动打开该文件。

示例(地址)是一个rtf文件，该文件利用Word的等式编辑器漏洞(CVE-2017-11882)将XLS拖放到扩展名为xlam的默认ExcelXLSTART文件夹中。

图9：删除文件到XLSTART的检测

图10：被丢弃的XLS的Yara匹配

释放的XLS有经过混淆的宏，下一次启动Excel时，它将打开已删除的文件，并执行宏，最后将DLL删除到AppData文件夹，并将其链接到系统启动时运行。查看释放的XLS的VMRay Analyzer报告

图11：删除XLS的检测

嵌入式设置内容

查看VMRayAnalyzer报告

SHA 256：3c6a74d216e10e4ff158716cfa72984230995041c4bbb7596b8c8aaa461d76c5

本质上，SettingContent-Ms文件类型是一个XML，它有一个名为“Deeplink”的标签。Deeplink可以指向任何可运行的文件，当文件打开时，指定的文件将被执行。

当使用Office的连接打开文档中嵌入的文档时，Office可以禁用或警告打开嵌入的文件(如果它们是可执行的)。可执行文件黑名单中缺少了这个扩展名，因此它绕过了这个安全特性，这意味着使用Office文档执行代码要容易得多。在该漏洞被公开披露后，安全研究人员创建了测试样本，其中许多最终在VirusTotal上结束。这种方法也被野生的恶意软件所使用，让LokiBot掉了下来。从那时起，它就被广泛应用于恶意软件的运动中，它的变化是将文件嵌入到PDF文件中，而不是DOC文件。

VMRay Analyzer检测文件结果:

图12：VMRayAnalyzer检测文件

结语

攻击者在不断寻找新的攻击载体。在Office文档中使用宏很容易检测，而且由于它们需要一些技能来实现，因此无法访问它们。然而，Office确实提供了许多现在未使用和被遗忘的特性，可以利用这些特性来创建成功的攻击。重新发现这些Office功能需要努力和技巧，但是一旦有了概念的证明，就有了一个窗口，可以用很少的技能创建高效的攻击。

（作者：曲速未来安全区，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）