Microsoft Office文档嵌入视频进行恶意软件传播

  • A+
所属分类:网络安全新闻

Microsoft Office文档嵌入视频进行恶意软件传播

Cymulate安全公司的研究人员设计了一种新的秘密技术,可以利用嵌入到武器化的MicrosoftOffice文档中的视频来提供恶意软件
当用户点击武器化Office文档中嵌入的武器化YouTube视频缩略图时,该技术可用于执行JavaScript代码。

专家指出,MicrosoftOffice未显示任何消息,要求受害者同意。

Cymulate的研究团队发现了一种滥用MicrosoftWord上的在线视频功能来执行恶意代码的方法。攻击者可以将此用于恶意目的,例如网上诱骗,因为该文档将显示带有YouTube链接的嵌入式在线视频,同时伪装隐藏的html/javascript代码,这些代码将在后台运行,并可能导致进一步的代码执行情况阅读Cymulate发表的分析。

此攻击是通过在Word文档中嵌入视频,编辑名为document.xml的XML文件,使用由攻击者创建的精心设计的有效负载替换视频链接来执行的,该攻击者使用嵌入式代码执行文件打开InternetExplorerDownloadManager

专家使用嵌入武器化MicrosoftOffice文档中的YouTube视频链接创建了概念验证攻击。

当视频嵌入Word文档时,会创建一个HTML脚本,当单击该文档中的缩略图时,它将由InternetExplorer执行。

研究人员找到了一种方法来修改HTML脚本以指向恶意软件,而不是真正的YouTube视频。

可以由攻击者编辑名为document.xml的默认XML文件,特别是可以修改名为embeddedHtml的参数中包含的视频配置和YouTube视频的iFrame,可以用攻击者替换HTML。

在研究人员提出的攻击情形中,他们在自己的HTML中包含了一个Base64编码的恶意软件二进制文件,它打开了InternetExplorer的下载管理器,后者又安装了恶意代码。

预期的视频将在不引起怀疑的情况下显示,而恶意软件则默默安装在受害者的计算机上。专家分享了该攻击的视频PoC。

在攻击的工作流程之下:

创建Word文档。
嵌入在线视频:插入->在线视频并添加任何YouTube视频。
使用嵌入的在线视频保存Word文档。
解压缩Word文档:Docx文件实际上是您可能在docx文件中看到的所有媒体文件的包。如果解压缩文件-通过使用解包器或将docx扩展名更改为zip并解压缩-在单个docx文件中有多个文件和目录:
编辑word文件夹下的document.xml文件
在.xml文件中,查找包含Youtubeiframe代码的embeddedHtml参数(在WebVideoPr下)。将当前iframe代码替换为要由InternetExplorer呈现的任何html代码/javascript。
保存document.xml文件中的更改,使用修改后的xml更新docx包并打开文档。
专家证明,只是欺骗受害者打开武器化文件并点击嵌入的视频就可以感染他们的机器。

Ben-Yossef说,Cymulate的首席技术官解释说,反恶意软件检测取决于攻击中使用的特定有效负载及其实施的规避技术。

该技术适用于Office2016和旧版本,研究人员通知微软,但该技术巨头不承认该技术是一个安全漏洞。

  • CE安全网微信群
  • weinxin
  • CE安全网QQ群
  • weinxin
CE安全网

网络安全宣传推广

发表评论

您必须登录才能发表评论!