安全研究人员发现利用Office文件攻击Windows公用程序regsvr32.exe的案例,自去年第4季以来大量增加,用以传播恶意软件。
安全厂商Uptycs自去年11月到今年1月,已侦测到500多个恶意程序样本利用Regsvr32.exe执行.ocx档的攻击案例。这些恶意程序样本属于Qbot、Lokibot家族。
图片来源/Uptycs
Regsvr32是经过微软签章的指令行公用程序,可用于登录和取消登录DLL。登录DLL档后,就可将特定信息加入注册表(registry)而为Windows所用,之后其他程序即能使用DLL的功能。
攻击者可利用Regsvr32加载COM scriptlet后执行DLL,这类攻击不会变更注册表,因为COM对象虽有执行但并未登录,可使攻击者绕过应用程序的白名单过滤。这类手法通常称为Squiblydoo。
研究人员指出,使用这类攻击的样本在去年11月以前只有10件上下,去年11月起突然遽增,12月及今年1月侦测到的样本来到超过340及100件。97%样本来自恶意Office文件,其中又以Excel文件最多,特别是包含.xlsb或.xlsm扩展程序的Excel文件。
图片来源/Uptycs
研究人员指出,嵌入式宏的xlsb或.xlsm Excel档、或是嵌入宏的Word/RTF或复合文件,如.doc、.docx、.docm档是利用宏里的公式,从远程URL下载或执行恶意程序。Squiblydoo手法则会阻碍安全产品的侦测分析,使黑客意图得逞。
除了使用能识别Squiblydoo手法的安全产品外,研究人员建议安全管理员特别注意regsvr32g在Word或Excel环境下执行的parent/child行程,尤其是执行COM scriptlet时加载scrobj.dll有无异常情形。