黑基网 首页 资讯 安全圈 查看内容

黑客利用IQY文件绕过杀毒软件并通过微软Excel下载恶意软件

2018-6-13 01:24| 投稿: xiaotiger |来自: 互联网

摘要: 根据技术博客Barkly在上周发表的一篇文章来看,安全研究人员Derek Knight(@dvk01uk)已经发现了一系列新的垃圾电子邮件活动,采用了一种较为新颖的方法来感染受害者。这些活动并未使用Word文档或其他常被滥用的附件 ...

根据技术博客Barkly在上周发表的一篇文章来看,安全研究人员Derek Knight(@dvk01uk)已经发现了一系列新的垃圾电子邮件活动,采用了一种较为新颖的方法来感染受害者。这些活动并未使用Word文档或其他常被滥用的附件类型,而是使用Web查询文件(.iqy)——本质上是一种简单的文本文件,默认在微软Excel中打开,用于从因特网下载数据。

Excel专家Jon Wittwer对.iqy文件的评价是——“基本上就像在Excel中内置了一个web浏览器”。它危险之处在于,能够被滥用于将功能强大的实用工具打包成一种极其简单、合法的文件格式,而这不足以引起杀毒软件的反应。正如Derek Knight指出的那样,“这些文件通过了所有的杀毒软件,因为它们没有恶意内容。”

目标在于传播FlawedAmmyy RAT

在Derek Knight发现的这一系列垃圾电子邮件活动中,.iqy文件会下载一个PowerShell脚本,该脚本通过微软Excel启动并执行一系列恶意下载。

第一批利用.iqy文件的垃圾电子邮件于2018年5月25日发出,来自目前全球最大的垃圾邮件僵尸网络Necurs。 随后,一个较小的峰值在2018年6月5日被探测到。仅在两天之后,也就是2018年6月7日,Derek Knight发现了第三波活动。

出现在所有这些活动中的电子邮件,其正文只有很少,甚至是没有内容。这是一种很典型的垃圾电子邮件类型。例如,在第一波活动中,邮件的主题是“未付发票[ID: xxxxxxxxx]”,正文完全没有任何内容,并且看起来像是来自目标组织的内部人员。

正如前面提到的那样,几乎所有杀病毒软件在.iqy文件面前似乎都显得毫无意义。根据VirusTotal,第一波活动中出现的.iqy文件在当天完全没有被检测到。直到Derek Knight通过Twttier公布了他的发现之后,在第二天才开始有杀毒软件陆续将其检测出来。

打开时,.iqy文件将通过微软Excel(其默认打开程序)启动,并尝试从内部包含的URL中提取数据。正如Jon Wittwer指出的那样,.iqy文件的基本形式非常简单。例如,在记事本中打开在第二波活动中出现的.iqy文件看起来像这样(只是几行文字):

一个.xls文件将被下载,该文件实际上是一个伪装的.exe文件。最终的有效载荷是FlawedAmmyy,这是一种由网络安全公司Proofpoint发现的远程访问木马(RAT)。

FlawedAmmyy由流行的远程桌面软件Ammyy Admin泄露的源代码构建而成,它具有提供Ammyy Admin的许多功能。简单来说,它基本上允许攻击者获取到对受感染计算机的完全访问,允许他们窃取文件和凭证、劫持计算机以发送更多垃圾电子邮件等等。

额外的潜在(甚至更危险)威胁

安全专家认为,.iqy文件的危险性远远超出这些具体的活动。创建.iqy文件容易程度,外加上无处不在的Excel,甚至可能使.iqy文件在滥用的可能性方面与宏大致相当。

尽管.iqy文件的危险性到目前为止还没有完全展现出来,但并不是完全没有记录。早在2015年8月,Casey Smith就曾介绍了关于滥用.iqy文件来开展网络钓鱼活动的可能性。而现在,它正被Necurs这样的大型僵尸网络用于发起多起活动,这很可能意味着更广泛的滥用可能正在发生。

我们建议各位管理员应及时调整防火墙和电子邮件过滤规则,以阻止.iqy文件。另外,除非你需要频繁使用.iqy文件,否则明智的做法应该是进一步设置Windows始终在记事本中打开.iqy文件。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部