|
此前微軟已經(jīng)通過(guò) Office 更新默認(rèn)禁用來(lái)自網(wǎng)絡(luò)的用戶(hù)意微用宏用辦公文檔中的宏,以前這類(lèi)宏是請(qǐng)注黑客的鐘愛(ài)之一,針對(duì)商業(yè)用戶(hù)的軟禁西安外圍(外圍聯(lián)系方式)(微信181-2989-2716)全國(guó)1-2線(xiàn)熱門(mén)城市高端外圍預(yù)約快速安排30分鐘到達(dá)釣魚(yú)郵件通常都會(huì)制作所謂的訂單或者報(bào)價(jià)信息,誘導(dǎo)用戶(hù)啟用宏,后利進(jìn)而執(zhí)行宏里面包含的投毒惡意腳本。 現(xiàn)在這條路已經(jīng)不太容易走了,正增所以不少黑客將目標(biāo)轉(zhuǎn)向 PDF 文檔,加藍(lán)針對(duì) Adobe Acrobat 用戶(hù)們發(fā)起釣魚(yú)。點(diǎn)網(wǎng) 為什么主要是用戶(hù)意微用宏用西安外圍(外圍聯(lián)系方式)(微信181-2989-2716)全國(guó)1-2線(xiàn)熱門(mén)城市高端外圍預(yù)約快速安排30分鐘到達(dá)針對(duì) Adobe Acrobat 呢?因?yàn)檫@款軟件在國(guó)外非常流行并且具有交互功能,如果只是請(qǐng)注拿 Chrome 打開(kāi) PDF,那黑客暗藏的軟禁各種交互式惡意代碼基本是無(wú)法運(yùn)行的 (除非 Chrome 的 PDF 引擎也包含漏洞)。 這種情況分為兩種,后利第一種是投毒針對(duì)包含漏洞的 Adobe Acrobat Reader 這類(lèi),第二種則是正增針對(duì)不含漏洞的,那就得用戶(hù)手動(dòng)交互。加藍(lán)
針對(duì)包含漏洞的 Adobe Acrobat: 攻擊者一般會(huì)精心制作包含惡意代碼的 PDF 文檔,然后通過(guò)電子郵件或其他渠道進(jìn)行分發(fā),在過(guò)時(shí)且未安裝補(bǔ)丁的 Adobe Acrobat 上,PDF 直接使用 MSHTA 執(zhí)行嵌入的 JavaScript 腳本,然后調(diào)用 powershell.exe 執(zhí)行惡意腳本加載一系列惡意負(fù)載并讓自己具有持久性,即重啟后惡意軟件也會(huì)跟著重啟。 整個(gè)過(guò)程都是自動(dòng)化的,只需要用戶(hù)使用 Adobe Acrobat 打開(kāi)這個(gè) PDF 文件即可。 針對(duì)不包含漏洞的 Adobe Acrobat: 在新版本 Acrobat 上 Adobe 已經(jīng)禁用執(zhí)行 JavaScript 腳本,為此黑客會(huì)通過(guò) PDF 彈出一個(gè)對(duì)話(huà)框要求重定向到外部網(wǎng)站。 這個(gè)外部網(wǎng)站也會(huì)下載 JavaScript 腳本并命名為具有誘導(dǎo)性的內(nèi)容,引導(dǎo)用戶(hù)打開(kāi)這個(gè) JavaScript 腳本,執(zhí)行后也會(huì)下載一系列負(fù)載。 接下來(lái)就是黑客的各種躲避操作了,例如要規(guī)避 Microsoft Defender 的查殺、修改 UAC 賬戶(hù)控制相關(guān)的注冊(cè)表項(xiàng)、禁用 Windows 防火墻等,當(dāng)然也包括利用一些方式進(jìn)行權(quán)限提升。 完成這些操作后實(shí)際上被感染的設(shè)備就已經(jīng)成了肉雞,整個(gè)設(shè)備不存在任何私密性,如果黑客愿意,那么都可以隨時(shí)獲取各種機(jī)密數(shù)據(jù),比如安插個(gè)鍵盤(pán)記錄器。 發(fā)布以上研究報(bào)告的邁克菲安全團(tuán)隊(duì)建議用戶(hù):
|
