MS Office内置功能可被利用来创建自我复制的恶意软件

本月早些时候，一名网络安全研究人员与黑客新闻分享了一个安全漏洞的细节，该漏洞影响了所有版本的Microsoft Office，允许恶意参与者创建和传播基于宏的自我复制恶意软件。


更糟的是什么？今年十月，当研究人员联系微软时，微软拒绝考虑这个问题是安全漏洞，称这是一个仅以8212的方式工作的特性。就像微软Office的DDE功能一样，黑客正在积极使用该功能。

使用相同的自蔓延技术发现新的“qkG勒索软件”

有趣的是，其中一个恶意软件正在影响你。我知道，那很快，甚至在公开披露之前。

就在昨天，趋势科技（Trend Micro）发布了一份关于一款新的基于宏的自我复制勒索软件的报告，名为qkG“它完全利用了Buono向我们团队描述的MS office功能。

Trend Micro的研究人员在越南某个人上传的VirusTotal上发现了qkG勒索软件样本，他们说，这种勒索软件看起来“更像是一个实验项目或概念验证（PoC），而不是在野外活跃使用的恶意软件”

qkG勒索软件采用自动关闭VBA宏，一种允许在受害者关闭文档时执行恶意宏的技术。
qkG勒索软件的最新样本现在包括一个比特币地址和一张要求300美元BTC的小赎金券，如图所示。

需要注意的是，上述比特币地址尚未收到任何付款，这显然意味着该勒索软件尚未被用于针对人。

此外，这个勒索软件目前使用的是相同的硬编码密码：“我是QkG@PTM17! 通过TNA@MHT-TT2“解锁受影响的文件。

下面是这种新的攻击技术的工作原理

如果您不知道，Microsoft默认情况下已禁用外部（或不受信任）宏，并且为了限制对Office VBA项目对象模型的默认编程访问，它还允许用户在需要时手动启用“对VBA项目对象模型的信任访问”。
启用“信任访问VBA项目对象模型”设置后，MS Office信任所有宏并自动运行任何代码，而不显示安全警告或需要用户许可。

Buono发现，只需编辑Windows注册表，就可以启用/禁用此设置，最终允许宏在未经用户同意和知情的情况下编写更多宏。
如视频所示，Buono创建的恶意MS Doc文件也会执行同样的操作，它首先编辑Windows注册表，然后向受害者在其系统上创建、编辑或刚刚打开的每个文档文件中注入相同的宏有效负载（VBA代码）。

受害者将在不知不觉中为进一步传播恶意软件负责

换句话说，如果受害者错误地允许恶意文档文件运行宏一次，他/她的系统将继续受到基于宏的攻击。

此外，受害者还将在不知情的情况下，通过共享他/她的系统中任何受感染的office文件，将相同的恶意代码传播给其他用户。

当你从一个已经被恶意软件感染的可信联系人那里收到恶意文档文件时，这种攻击技术会更加令人担忧，最终会将你变成下一个攻击向量。

虽然这项技术没有在野外被利用，但研究人员相信，它可以被用来传播危险的自我复制恶意软件，而这些恶意软件可能很难处理和终止。

由于这是一项合法功能，大多数防病毒解决方案都不会用VBA代码标记任何警告或阻止MS Office文档，这家科技公司也没有发布限制此功能的修补程序的计划。

好建议“为了（部分）减轻该漏洞，可以将AccessVBOM注册表项从HKCU配置单元移动到HKLM，使其仅由系统管理员编辑”。

保护自己免受此类恶意软件攻击的最佳方法是，始终对通过电子邮件发送的任何未经邀请的文档持怀疑态度，并且除非充分验证其来源，否则永远不要点击这些文档中的链接。