记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用微软Office默认功能创建可自我复制的恶意软件

意大利安全研究员力诺·安东尼奥·布诺发现了一个安全漏洞,影响几乎所有版本的微软Office办公软件。根据布诺的发现,该漏洞可使黑客创建并散布基于宏的自复制恶意软件,其能隐藏在Word文档中。布诺解释称,自复制恶意软件能让宏写出更多的宏。尽管不是什么新的威胁,微软也已经引入安全机制限制该恶意软件的功能,但布诺公布的漏洞还是能使攻击者很容易地避开微软的安全控制。然而,10月17日,布诺尝试通知微软该漏洞情况时,微软并不认为这是一个安全问题。微软宣称,该功能本来就是这么设计的。但是,如今大受恶意攻击者喜爱的动态数据交换(DDE)功能,微软也是这么说的。而且,该科技巨头还指出,最新的宏设置变动中,默认禁用所有外部及非受信宏。这会限制宏对Office VBA工程模型的默认访问。用户需点击“信任对VBA工程对象模型的访问”
发布时间:2017-11-29 02:05 | 阅读:113981 | 评论:0 | 标签:威胁情报 Office qkG VBA宏 勒索软件 微软 恶意软件

打造免杀JScript

前言 我们密切关注的恶意软件的特征之一是其使用的免杀技术,即恶意软件用于传统沙盒中隐藏其真正恶意性质的技术,直到它到达特定目标机器。在其他帖子中,我们讨论了在二进制程序中采用不同的免杀技术。最近,我们已经看到通过VBA宏在恶意Office文档的免杀。在这里,我们研究JScript脚本免杀的使用。 JScript是由微软公司开发的活动脚本语言,是微软对ECMAScript规范的实现。在实践中,JScript的外观和行为与常规JavaScript一样,但也有一些额外的专有特性,例如条件编译。大多数恶意JScript程序作为电子邮件附件提供,当用户单击附件时,它们由Windows脚本宿主(WSH)通过cscript.exe或wscript.exe执行。使用WSH提供的对象和服务,JScript程序可以访问其所运行的设
发布时间:2016-11-09 03:05 | 阅读:72982 | 评论:0 | 标签:Web安全 COM控件 Stalling Code VBA宏 免杀JScript 免杀技术

payload实例分析:加密的恶意文档

我们今天分析的这份恶意office文档其本身是一个下载器:2ELJ2E1OPJ0OT.docoledump结果显示该恶意文档中存在VBA宏,但是插件不能够提取URL现在我们使用我新写的的一份插件:plugin_vba_dco。该插件会搜索声明语句以及调用的创建对象:在输出的上半部分(1)我们可以看到每一行都包含Declare或者CreateObject关键词,在下半部分(2)包含了调用声明函数或者创建对象。虽然代码经过了混淆处理(字符串以及变量名),根据插件的输出我们不难猜出Ci8J27hf2可能就是XMLHTTP对象XMLHTTP对象的open方法需要3个参数:HTTP方法,URL,布尔值(异步或同步调用):我们可以看到最后一个参数为假,前面两个参数返回IpkfHKQ2Sd函数的值,该函
发布时间:2015-11-16 14:45 | 阅读:77695 | 评论:0 | 标签:系统安全 终端安全 VBA宏 下载器 加密 恶意

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云