日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日，網(wǎng)絡(luò)犯罪者開發(fā)出了一種新型攻擊技術(shù)，它可以利用發(fā)送PPT文件和鼠標(biāo)懸停來讓用戶執(zhí)行任意代碼，并下載惡意程序。

使用經(jīng)過特制的Office文件——特別是Word文檔來傳播惡意軟件其實(shí)并不少見，此類攻擊通常依靠社會(huì)工程學(xué)(對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段)來欺騙受害者，誘使其啟用文檔中嵌入的VBA宏。

然而，研究人員最近發(fā)現(xiàn)，一種全新的攻擊手段開始以惡意PPT文件為載體，通過鼠標(biāo)懸停事件執(zhí)行PowerShell代碼。這些名為“order.ppsx”或“invoice.ppsx”的文件通過垃圾郵件進(jìn)行分發(fā)，其主題多為“采購(gòu)訂單#130527”或“待確認(rèn)事項(xiàng)”等，偽裝成商務(wù)郵件進(jìn)行攻擊。

安全專家RubenDanielDodge進(jìn)行的分析顯示，當(dāng)惡意PPT被打開時(shí)，它將顯示為一個(gè)可以點(diǎn)擊的超鏈接，文本是“正在加載……請(qǐng)等待”。

有趣的部分來了。這種新型攻擊方式的可怕之處是，只要用戶將鼠標(biāo)懸停在惡意鏈接上，即使你并沒有點(diǎn)擊，也會(huì)觸發(fā)執(zhí)行PowerShell代碼。一般來說，大多數(shù)版本的Office都會(huì)默認(rèn)啟用安全防護(hù)功能，通知用戶一些常見的風(fēng)險(xiǎn)，提示用戶啟用或禁用某些內(nèi)容，但此類保護(hù)對(duì)懸停攻擊卻成效甚微。另外，這種攻擊也不需要用戶啟用宏來執(zhí)行代碼，而是使用外部程序功能。

如果受害者中招，PowerShell代碼將被執(zhí)行并連接到網(wǎng)站“cccn.nl”。接下來就是常規(guī)套路了，隨后會(huì)從該域名下載文件并執(zhí)行，最終部署惡意程序downloader。

Dodge This Security博客在針對(duì)該惡意程序的分析中提到，首張PPT Slide1的“rID2”元素定義中可見其PowerShell命令，如上圖所示。而下面這張圖中標(biāo)注的紅色部分，就是懸停動(dòng)作的具體定義了。

RubenDanielDodge已經(jīng)在文中公布了其IoC。很不幸的是，他們發(fā)現(xiàn)這種攻擊方式在此之前就已經(jīng)有人在用了——被用來傳播一種網(wǎng)銀木馬的變種，沒錯(cuò)，就是大名鼎鼎的“Zusy”、“Tinba”或被稱為“TinyBanker”。

關(guān)于PPT投遞惡意軟件為何會(huì)有這么多人中招，Sentinel One是這樣分析的：

用戶仍然習(xí)慣于允許外部程序運(yùn)行，因?yàn)樗麄兛偸羌葢杏置?，要不就是屏蔽了宏就以為高枕無憂了。而且，一些配置可能在外部程序中執(zhí)行起來比用宏更方便。

當(dāng)然，這種攻擊也并非無往不利。有安全公司指出，如果使用Power Point Viewer打開惡意PPT文件即可使攻擊失效。另外，大多數(shù)版本的Office在執(zhí)行代碼之前都會(huì)警告用戶，雖然效果有限，但在某些情況下也可以挽回部分損失。

文章名稱：無需宏，PPT也能用來投遞惡意程序
網(wǎng)站地址：http://www.5511xx.com/article/cociipi.html