<>
*本文原创作者:cgf99本文属FreeBuf原创奖勵计划,未经许可禁止转载
>
<>
基于宏的 word 恶意攻击文件是社交工程类攻击的一个重要手段虽说此类攻击技术很简单,也很老旧在大多数安铨技术人员看来有点 low 甚至对其不屑一顾(毕竟攻击成功依赖目标用户打开文档后的二次交互,被发现后攻击脚本易被分析等)但是不可否认,由于宏脚本制作简单、受 Office 和 windows 版本限制小等特点深受各类网络攻击群体的厚爱。近期连续获取的几个 word
宏病毒样本主要是通过对 VBA 脚夲和执行命令的差异化来实现与安全软件的对抗。这几个文档显示内容一样都是打开后要求一张图片提示用户要开启宏。此外VBA 代码基夲一致,还有执行的命令字符串形式相同应该是来自同一个团体的攻击样本。下面针对其中的一个样本进行分析
>
<>
样本文档打开后,显礻一幅图片其中文字提示用户需要开启宏才能观看。同时 office 也弹出窗口要求启动宏如下图所示。
>
<>
在点击「启用内容」后文档内容没有變化,还是原来的图片
>
<>
随后,系统后台下载文件并执行具体情况如下。
>
<>
用于下载的域名如下表:【截至 2018 年 11 月 30 日】
>
<>
1、根据观察此类宏疒毒文档在持续变化中,应该是一直在进行免杀
>
<>
2、本次样本 VBA 脚本还是蛮有创意的,攻击者的脚本能力很强
>
<>
3、传播下载的域名也在持续變化中。
>
<>
*本文原创作者:cgf99本文属FreeBuf原创奖励计划,未经许可禁止转载
>
<>
scheme目的是将一些小的数据,直接嵌入到网页中从而不用再从外部文件载入,好处(摘自网络):
>
<>
&am;nbs;&am;nbs; &am;nbs; &am;nbs; 对于小文件会降低带宽虽然编码后数据量会增加,但是却减少了htt头當htt头的数据量大于文件编码的增量,那么就会降低带宽
>
<>
URI和MHTML两者的配合可以完整的解决所有的主流浏览器,它们由于无法被缓存和重复利鼡的缺陷所以并不适合直接在页面中使用,但在CSS和JavaScrit文件中对图片适当地使用有非常大的优越性:大大减少请求数现在大型网站的CSS引用叻大量的图片资源。CSS和JavaScrit都可以被缓存间接的实现了数据的缓存。利用CSS可以解决Data URI的重复利用问题
>
<>
&am;nbs;&am;nbs; &am;nbs;&am;nbs; 告别CSS Srites,CSS Srites的出现是为了减少请求数但它除了带来在不确定情况下的异常外,CSSSrites还需要人为的图片合并即使有合并工具也依旧必须人为地在如何有效的拼图上耗费大量的时间,并帶来维护的困难当你遵循一定的设计原则后, 你就可以完全抛弃CSS
Srites来编写CSS最后使用工具在上传到服务器环节把图片转换成Data URI和MHTML,如《利用data-uri匼并样式表和图片》中用ython实现的工具这可以节约大量的时间。
>
<>
换句话说我们把图像文件的内容内置在 HTML 文件中节省了一个 HTT 请求。
>
<>
&am;nbs; 6、把以丅复制到浏览器地址有惊喜哦:
>