卡巴斯基实验室专家发现常用的文档创建软件中存在一种被攻击者滥用来发动针对性攻击的功能。
卡巴斯基实验室专家发现常用的文档创建软件中存在一种被攻击者滥用来发动针对性攻击的功能。使用在打开Office文档时激活的恶意应用程序,受害者设备上所安装的软件信息就会自动被发送给攻击者,无需用户干预。这些数据能够让攻击者知道使用什么类型的漏洞利用程序来对目标设备实施攻击。
打开的文档的设备无关紧要:这种攻击技巧同时适用于桌面版和移动版的文字处理软件。卡巴斯基实验室观察到至少有一个网络间谍攻击组织使用这种手段获取潜在受害者信息,公司的研究人员将这一攻击组织命名为FreakyShelly。卡巴斯基实验室已经将这一情况上报给软件开发商,但是相关漏洞还没有完全修补。
之前,卡巴斯基实验室专家在对FreakyShelly针对性攻击调查过程中,检测到一种鱼叉式钓鱼邮件,采用OLE2格式文档(使用对象链接和嵌入技术,能够帮助应用创建包含来自多种来源的符合文档,包括来自互联网的信息)。初看起来,这种文件并没有引起怀疑或不信任。文件中包括一些有用的关于如何充分利用Google搜索引擎的提示和建议,并且不包含任何已知的漏洞或恶意宏。然而,对文档的行为进行深度分析后显示,当文档被打开时,由于某些原因,会向一个外部网页发送一个特定的GET请求。这个GET请求包含有关用户设备的信息,包括浏览器、操作系统版本以及受攻击设备上安装的其他软件数据。问题是应用程序根本不应当请求这个网页。
卡巴斯基实验室的进一步研究显示,这种攻击之所以奏效,在于文档中的元素的技术信息是如何处理的和存储的。每种数字文档都包含有关其样式、文本位置和来源的特定元数据,文档中的图片(如果有图片的话)应当来自哪里以及其他各种参数。一旦文档被打开,office应用读取这些参数,使用这些参数作为“地图”构建文档。基于卡巴斯基实验室研究人员的调查结果,负责指向文档中使用的图片位置的参数可以由攻击者通过复杂的代码操作来更改,并将文档上报给攻击者控制的页面。
“尽管这种功能不会直接启动恶意软件攻击,但仍然是危险的,因为其无需用户任何互动,就可以有效支持恶意活动。而且受影响的软件非常流行,所以能够影响全球很多用户。到目前为止,我们已经看到这个功能仅在一个实例中使用。但是,考虑到这种恶意行为很难被检测,我们预测将有更多的网络罪犯会在未来使用这种技术,”卡巴斯基实验室启发式检测小组经理Alexander Liskin说。
卡巴斯基实验室产品能够成功检测和拦截利用这种技术实施的攻击。
为了避免成为这类攻击的受害者,卡巴斯基实验室专家建议用户采取以下措施:
- 不要打开来自未知地址的邮件,不要打开这类邮件中的附件;
- 使用能够检测这类攻击的安全解决方案,例如卡巴斯基实验室的安全解决方案。
完整版调查报告请参见Securelist上的博文,其中还包括这种功能的深入技术信息。
