Excel文档是非常常见的办公软件。一旦被黑客盯上,就足以骗取大量用户。用同一个Excel文档来迷惑用户视线,表面“风平浪静”,实则“暗藏危机”。近日,来自NVISO实验室的安全研究人员发现,一个新的恶意软件组织使用了一种新技术来生成Excel文件,该技术可以在不使用MicrosoftOffice的情况下创建包含大量宏的Excel工作簿。这些恶意Excel文件很难被检测到,并且可以绕过系统安全测试。名为“EpicManchego”的恶意组织团伙从6月开始活跃。主要活动是向全球企业发送带有恶意Excel的钓鱼邮件。这些Excel文件是隐藏的“技巧”,并不是人们使用的常规电子表格文件。它们可以绕过安全扫描器并且检测率较低。EPPlus编译的恶意电子表格文件这些恶意Excel文件也“来历不凡”,它们不是在常规的MicrosoftOffice软件中编译的,而是在带有EPPlus的.NET库中编译的。开发人员将使用这个库添加“导出到Excel”或“另存为电子表格”功能,简而言之,它可以用于生成各种电子表格格式的文件,甚至支持Excel2019。”当我们注意到恶意文件“没有编译代码,也缺少Office元数据,我们很快想到了EPPlus。这个库也可以创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究小组写在报告中。EpicManchego利用该库中的EPPlus生成OfficeOpenXML(OOXML)格式的电子表格文件。EpicManchego生成的OOXML电子表格文件缺少为在Microsoft专有Office软件中编译的Excel文档设计的编译VBA代码的一部分。OOXML文件格式是一种开放打包约定(OPC)格式:一种ZIP容器,主要包含XML文件和可能的二进制文件。它由Microsoft在Office2007发布时首次引入。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。EPPlus没有创建编译代码的方法:创建编译VBA代码的算法是Microsoft专有的。杀毒软件通过查找VBA代码部分来检测恶意Excel文件,这可以解释为什么EpicManchego生成的恶意Excel文件检出率低于其他恶意Excel文件。编译后的VBA代码可以存储攻击者的恶意代码。例如,EpicManchego将其恶意代码存储在自定义VBA代码格式中,该格式还受密码保护,以防止安全系统和研究人员分析其内容。尽管恶意Excel文件以不同的方式生成,但EPPlus生成的电子表格仍然像普通Excel文档一样工作。这使得用户很难识别和发现Excel表格的异常。包含恶意宏脚本的恶意文档的操作者自6月以来一直很活跃。如果打开Excel文件的用户允许脚本执行(通过单击“启用编辑”按钮),宏就会在目标用户的系统上下载并安装恶意软件。下载的恶意程序多为Azorult、AgentTesla、Formbook、Matiex、njRat等经典窃密木马,可以将用户的浏览器、邮箱、FTP客户端密码转储到服务器中的EpicManchego。安全研究团队NVISO表示,他们发现了200多个与EpicManchego相关的恶意Excel文件,其中第一个可追溯到今年6月22日。建议修复过滤电子邮件附件和从组织外部发送的电子邮件;实施强大的端点检测和响应防御;加强网络钓鱼意识培训,开展网络钓鱼演练。
