黑客利用微软Office的三个漏洞传播Zyklon恶意软件

配音旋风，这一功能齐全的恶意软件在近两年后重新浮出水面，主要针对电信、保险和金融服务。

Zyklon自2016年初开始活跃，是一种HTTP僵尸网络恶意软件，通过Tor匿名网络与其命令和控制服务器通信，并允许攻击者远程窃取密钥日志、敏感数据，如存储在web浏览器和电子邮件客户端中的密码。

Zyklon恶意软件还能够执行其他插件，包括秘密使用受感染的系统进行DDoS攻击和加密货币挖掘。

此前，人们发现Zyklon恶意软件的不同版本在一个流行的地下市场上以75美元（普通版本）和125美元（Tor-enabled版本）的价格发布广告。

根据FireEye最近发布的一份报告，该活动背后的攻击者利用Microsoft Office中的以下三个漏洞，在目标计算机上执行PowerShell脚本，从其C&；C服务器。

1) .NET框架RCE漏洞（CVE-2017-8759）和#8212；Microsoft在运行时存在此远程代码执行漏洞。NET Framework处理不受信任的输入，允许攻击者通过诱骗受害者打开通过电子邮件发送的精心编制的恶意文档文件来控制受影响的系统。微软已经在9月份发布了针对该漏洞的安全补丁。

2） Microsoft Office RCE漏洞（CVE-2017-11882）和#8212；这是一个17年前的内存损坏漏洞，微软在11月的补丁更新中修补了该漏洞，远程攻击者可以在打开恶意文档后，在目标系统上执行恶意代码，而无需任何用户交互。

3） 动态数据交换协议（DDE开发）和#8212；这种技术允许攻击者利用Microsoft Office的内置功能DDE在目标设备上执行代码，而无需启用宏或内存损坏。

正如研究人员所解释的，攻击者正在积极利用这三个漏洞，使用spear网络钓鱼电子邮件发送Zyklon恶意软件，这些电子邮件通常附带一个包含恶意Office文档文件的ZIP文件。

一旦打开，带有其中一个漏洞的恶意文档文件立即运行PowerShell脚本，该脚本最终会将最终有效负载（即Zyklon HTTP恶意软件）下载到受感染的计算机上。

FireEye研究人员说：“在所有这些技术中，同一个域用于下载下一级有效负载（Pause.ps1），这是另一个Base64编码的PowerShell脚本。”。

“Pause.ps1脚本负责解析代码注入所需的API。它还包含可注入的外壳代码。”

“注入的代码负责从服务器下载最终有效负载。最终阶段有效负载是使用.Net framework编译的PE可执行文件。”

有趣的是，PowerShell脚本连接到一个无点IP地址（例如：https://3627732942)下载最后的有效载荷。

什么是无点IP地址？如果您不知道，无点IP地址（有时称为“十进制地址”）是IPv4地址的十进制值（用点四元符号表示）。几乎所有现代web浏览器在打开时都会将十进制IP地址解析为其等效的IPV4地址，并在十进制值后加上“https://”。

例如，谷歌的IP地址216.58.207.206也可以表示为https://3627732942十进制值（试试这个在线转换器）。

保护您自己和您的组织免受此类恶意软件攻击的最佳方法是始终对通过电子邮件发送的任何未经邀请的文档持怀疑态度，并且除非充分验证了来源，否则永远不要点击这些文档中的链接。

最重要的是，始终保持您的软件和系统处于最新状态，因为威胁参与者会将最近发现但经过修补的漏洞纳入流行软件中—；在本例中，是微软Office—；增加成功感染的可能性。