攻防最前线:Word+YouTube视频无感攻击技术被曝光

栏目: 编程语言 · XML · 发布时间: 5年前

Cymulate 的研究团队发现了一种滥用微软 Word 的在线视频功能来执行恶意代码的方法。专家们使用嵌入在武器化的 Microsoft Office 文档中的 YouTube 视频链接创建了概念验证攻击。攻击者可以将其用于恶意的目的, 如网络钓鱼。

Cymulate 研究团队发布了一个在线视频POC: 当用户点击一个YouTube 视频(嵌入在一个恶意的office文档中),可执行 JavaScript 代码。而,这一切可以做到用户无感。

在 Word 文档中嵌入视频时, 将创建一个 HTML 脚本, 并在单击文档中的缩略图时由 IE浏览器执行它。恶意文档将显示嵌入的在线视频与 YouTube 的链接, 同时伪装隐藏的 html/javascript 代码将在后台运行, 可能会导致进一步代码执行。

此攻击是通过在 Word 文档内嵌入视频、编辑名为文档的 xml 文件、将视频链接替换为攻击者创建的特制有效负载来实现的。该操作将使用嵌入式代码执行打开 Internet 资源管理器下载管理器文件。

一个名为 "文档. XML" 的默认 XML 文件可以由攻击者编辑, 特别是可以修改包含在名为 "embeddedHtml" 的参数中的视频配置, 以及用于 YouTube 视频的 iFrame, 这可替换为攻击者 HTML。

在研究人员提出的攻击场景中, 他们在自己的 HTML 中, Base64-encoded 恶意软件二进制文件打开了 ie 浏览器的下载管理器, 进而又安装了恶意代码。

这一切是用户无感的, 恶意软件是默默地安装在受害者的机器上。专家分享了攻击的视频 PoC。在攻击的流程如下:

1. 创建 Word 文档。

2. 嵌入在线视频: 插入 >> 在线视频和添加任何 YouTube 视频。

3. 使用嵌入的在线视频保存 Word 文档。

4. 解压缩 Word 文档: docx 文件,实际上是您可能会在 docx 文件中看到的所有媒体文件的包。如果您解压缩文件(通过使用unpacker或更改 docx 扩展名为 zip,再解压 )都会得到几个文件和目录。

5. 编辑 word 文件夹下的文档. xml 文件。

6. 在. xml 文件中, 查找包含 Youtube iframe code的 embeddedHtml 参数 (在 WebVideoPr 下)。将当前的 iframe code替换为由IE 浏览器支持的任何 html 代码或javascript。

7. 保存文档. xml 文件中的更改, 使用修改后的 xml 更新 docx 包并打开文档。

Cymulate 的首席技术官本-约瑟夫解释说, 反恶意软件检测取决于攻击中使用的特定负载以及它实现的规避技术。

该技术适用于 Office 2016 和较旧版本, 研究人员通知微软, 但 微软 并不承认该技术是一个安全缺陷。 (这就可怕了 ~!)

视频POC

https://www.businesswire.com/news/home/20181025005616/en/Cymulate-Finds-Logical-Bug-Microsoft-Office-Suite

声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript设计模式

JavaScript设计模式

Ross Harmes、Dustin Diaz / 谢廷晟 / 人民邮电出版社 / 2008 / 45.00元

本书共有两部分。第一部分给出了实现具体设计模式所需要的面向对象特性的基础知识,主要包括接口、封装和信息隐藏、继承、单体模式等内容。第二部分则专注于各种具体的设计模式及其在JavaScript语言中的应用,主要介绍了工厂模式、桥接模式、组合模式、门面模式等几种常见的模式。为了让每一章中的示例都尽可能地贴近实际应用,书中同时列举了一些JavaScript 程序员最常见的任务,然后运用设计模式使其解决方......一起来看看 《JavaScript设计模式》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

html转js在线工具
html转js在线工具

html转js在线工具