趋势科技发现有一个恶意PowerPoint文件,会以邮件附件的形式攻击用户。这个文件内嵌一个Flash内容,会利用特定版本Flash Player的漏洞(CVE-2011-0611)将后门程序植入用户计算机内。
一旦用户者打开恶意PPT文件,就会触发Flash内的Shellcode,并利用CVE-2011-0611漏洞展开攻击,将“Winword.tmp”文件保存到Temp文件夹。同时还会产生一个非恶意的PowerPoint文件“Powerpoint.pps”以蒙骗用户认为这只是一般的PPT简报。根据趋势科技的分析,“Winword.tmp”是一个后门程序,可以连到远程服务器,并与幕后黑手通讯。此外该程序还可以下载并执行其他恶意软件,让受感染系统面临更可怕的威胁,例如运行进行数据外泄数据窃取的恶意软件。
趋势科技将这个恶意PowerPoint文件命名为TROJ_PPDROP.EVL,产生的后门程序命名为BKDR_SIMBOT.EVL。根据报导以及趋势科技的分析都可以看出,以往的目标攻击也用过这类恶意软件。
目前最新的的威胁已经不再只是将恶意软件伪装成一般的二进制文件(例如EXE文件),并夹带到电子邮件中。这些特制的文件可以嵌入到一般常用的PDF、DOC、PPT或XLS文件中。在这种攻击手法里,用户往往不会察觉,因为TROJ_PPDROP.EVL也会展示非恶意的PowerPoint文件作为攻击的烟幕弹。
可靠的漏洞:有效的感染关口
这起案例也显示出,网络犯罪份子会不停地利用常见软件的旧漏洞(例如MS Office或是Flash等),在之前的文章里,我们发现有些已经被上报过的旧软件漏洞,例如CVE-2010-3333和CVE-2012-0158仍然被攻击者利用着。这些发现告诉了我们两件事:首先,可靠漏洞的攻击码仍然是有效的网络犯罪工具;其次,大多数用户都不会经常给系统安装最新得升级程序和补丁,而这也解释了为什么攻击者可以不断地利用这些旧的系统漏洞。
趋势科技会通过趋势科技云计算安全技术保护用户,封锁相关的电子邮件和网址,并且查杀TROJ_PPDROP.EVL和BKDR_SIMBOT.EVL。在这个只要借助简单的文件即可能导致数据外泄的年代,用户在打开电子邮件附件的时候一定要非常小心,特别是来自未知发件人的邮件。此外用户也应该经常更新安全补丁程序,将系统维护在最新状态。