高德开户恶意软件团伙使用。net库生成绕过安全

高德娱乐登录测速,高德平台官网登录

高德注册登录【主管QQ554-258】一个新发现的恶意软件团伙正在使用一种聪明的方法来创建恶意的Excel文件,这些文件的检测率很低,躲避安全系统的几率更高。

NVISO实验室的安全研究人员发现了这个被他们命名为Epic Manchego的恶意软件团伙,该团伙自6月以来一直很活跃,通过带有恶意Excel文档的钓鱼邮件攻击世界各地的公司。

但NVISO说,这些不是标准的Excel电子表格。恶意的Excel文件绕过了安全扫描器,并且检测率很低。

恶意的Excel文件是用EPPlus编译的

根据NVISO的说法,这是因为这些文档不是用标准的Microsoft Office软件编译的,而是用一个名为EPPlus的。net库编译的。

开发人员通常在他们的应用程序中使用这个库来添加“导出为Excel”或“保存为电子表格”功能。该库可用于生成各种电子表格格式的文件,甚至还支持Excel 2019。

NVISO说Epic Manchego gang似乎使用了EPPlus在Office Open XML (OOXML)格式中生成电子表格文件。

由Epic Manchego生成的OOXML电子表格文件缺少一段已编译的VBA代码,高德平台登陆特别是在微软的专有Office软件中编译的Excel文档。

一些防病毒产品和电子邮件扫描仪专门寻找这部分VBA代码,以搜索可能的迹象恶意Excel文档,这将解释为什么由Epic Manchego gang生成的电子表格比其他恶意Excel文件的检测率低。

编译后的VBA代码通常存储在攻击者的恶意代码中。然而,这并不意味着文件是干净的。NVISO表示,Epic Manchego只是将他们的恶意代码存储在一种定制的VBA代码格式中,这种格式也有密码保护,以防止安全系统和研究人员分析其内容。

但是尽管使用了不同的方法来生成它们的恶意Excel文档,基于eppl的电子表格文件仍然像其他Excel文档一样工作。

6月以来活跃

恶意文档(也称为maldocs)仍然包含一个恶意的宏脚本。如果打开Excel文件的用户允许脚本执行(通过点击“启用编辑”按钮),宏就会下载并在受害者的系统上安装恶意软件。

最后的有效载荷是Azorult、AgentTesla、Formbook、高德登录Matiex和njRat等经典的infostealer木马,它们会从用户的浏览器、电子邮件和FTP客户端转储密码,并将它们发送到Epic Machengo的服务器。

在决定使用EPPlus生成恶意Excel文件可能有一些好处,一开始,也最终伤害史诗格乳酪从长远来看,因为它允许NVISO团队很容易检测到所有过去的操作通过搜索外形奇特Excel文件。

最后,NVISO表示,他们发现了200多个与Epic Manchego有关的恶意Excel文件,第一个文件可以追溯到今年6月22日。

NVISO说,这个组织似乎在试验这种技术,自从第一次袭击以来,他们增加了他们的活动和攻击的复杂性,这表明这种技术在未来可能会得到更广泛的应用。

然而,NVISO的研究人员对恶意软件集团现在使用EPPlus并不感到完全惊讶。

该公司表示:“我们很熟悉这个。net库,因为几年来我们一直在使用它为红队和渗透测试人员创建恶意文档(maldocs)。”


上一篇
高德开户数以百万计的WordPress网站正受到最近插
上一篇
高德开户葛兰素史克(Glaxo)对新型大脑机器的生物