根據技術博客Barkly在上週發表的一篇文章來看,安全研究人員Derek Knight(@dvk01uk)已經發現了一系列新的垃圾電子郵件活動,採用了一種較為新穎的方法來感染受害者。這些活動並未使用Word文檔或其他常被濫用的附件類型,而是使用Web查詢文件(.iqy)——本質上是一種簡單的文本文件,默認在微軟Excel中打開,用於從因特網下載數據。
Excel專家Jon Wittwer對.iqy文件的評價是——“基本上就像在Excel中內置了一個web瀏覽器”。它危險之處在於,能夠被濫用於將功能強大的實用工具打包成一種極其簡單、合法的文件格式,而這不足以引起殺毒軟件的反應。正如Derek Knight指出的那樣,“這些文件通過了所有的殺毒軟件,因為它們沒有惡意內容。”
目標在於傳播FlawedAmmyy RAT
在Derek Knight發現的這一系列垃圾電子郵件活動中,.iqy文件會下載一個PowerShell腳本,該腳本通過微軟Excel啟動並執行一系列惡意下載。
第一批利用.iqy文件的垃圾電子郵件於2018年5月25日發出,來自目前全球最大的垃圾郵件殭屍網絡Necurs。 隨後,一個較小的峰值在2018年6月5日被探測到。僅在兩天之後,也就是2018年6月7日,Derek Knight發現了第三波活動。
出現在所有這些活動中的電子郵件,其正文只有很少,甚至是沒有內容。這是一種很典型的垃圾電子郵件類型。例如,在第一波活動中,郵件的主題是“未付發票[ID: xxxxxxxxx]”,正文完全沒有任何內容,並且看起來像是來自目標組織的內部人員。
正如前面提到的那樣,幾乎所有殺病毒軟件在.iqy文件面前似乎都顯得毫無意義。根據VirusTotal,第一波活動中出現的.iqy文件在當天完全沒有被檢測到。直到Derek Knight通過Twttier公佈了他的發現之後,在第二天才開始有殺毒軟件陸續將其檢測出來。
打開時,.iqy文件將通過微軟Excel(其默認打開程序)啟動,並嘗試從內部包含的URL中提取數據。正如Jon Wittwer指出的那樣,.iqy文件的基本形式非常簡單。例如,在記事本中打開在第二波活動中出現的.iqy文件看起來像這樣(只是幾行文字):
一個.xls文件將被下載,該文件實際上是一個偽裝的.exe文件。最終的有效載荷是FlawedAmmyy,這是一種由網絡安全公司Proofpoint發現的遠程訪問木馬(RAT)。
FlawedAmmyy由流行的遠程桌面軟件Ammyy Admin洩露的源代碼構建而成,它具有提供Ammyy Admin的許多功能。簡單來說,它基本上允許攻擊者獲取到對受感染計算機的完全訪問,允許他們竊取文件和憑證、劫持計算機以發送更多垃圾電子郵件等等。
額外的潛在(甚至更危險)威脅
安全專家認為,.iqy文件的危險性遠遠超出這些具體的活動。創建.iqy文件容易程度,外加上無處不在的Excel,甚至可能使.iqy文件在濫用的可能性方面與宏大致相當。
儘管.iqy文件的危險性到目前為止還沒有完全展現出來,但並不是完全沒有記錄。早在2015年8月,Casey Smith就曾介紹了關於濫用.iqy文件來開展網絡釣魚活動的可能性。而現在,它正被Necurs這樣的大型殭屍網絡用於發起多起活動,這很可能意味著更廣泛的濫用可能正在發生。
我們建議各位管理員應及時調整防火牆和電子郵件過濾規則,以阻止.iqy文件。另外,除非你需要頻繁使用.iqy文件,否則明智的做法應該是進一步設置Windows始終在記事本中打開.iqy文件。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
