查看原文
其他

攻击技术研判 | 后宏时代:PPT鼠标悬停事件的新利用

天元实验室 M01N Team 2023-01-08

情报背景

近期,Cluster25的研究员发现了全新的PowerPoint代码执行技术。攻击者罕见地利用了PPT中的鼠标悬停事件来执行代码,以此作为恶意宏与URL超链接的替代方案,使得钓鱼文档在宏被严格限制的今天死灰复燃,拥有载荷投递的能力。本文将就本次事件中出现的技术进行分析研判。


组织名称

TSAR

组织编号

APT28

相关工具

SyncAppvPublishingServer.vbs

战术标签

载荷投递

技术标签

LOLBAS

情报来源

https://blog.cluster25.duskrise.com/20

22/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-graphite/


01 攻击技术分析

亮点一:利用鼠标悬停执行命令

攻击者投递的样本为PPT文件,在PPT首页上覆盖了一张透明图片:

PPT上方的透明图片


并且,给透明图片添加了相应的鼠标悬停事件:

鼠标悬停事件的超链接


当鼠标悬停于图片上时,将打开超链接指向的目标文件,执行后续攻击流程。鼠标悬停触发执行的部分代码如下:

鼠标悬停事件执行代码


代码中包含一个PowerShell脚本,该脚本通过系统中的LOLBAS白名单脚本SyncAppvPublishingServer.vbs来代理执行,有效提升了样本的防御规避效果:

白名单脚本代理执行PowerShell


亮点二:已被修复的Power Hover悬停执行技术

在原本的Power Hover攻击方式中,可以通过修改.ppsx组成文件slide1.xml.rels中的hyperlink,将超链接修改为远端部署的恶意文件,实现无需宏代码的载荷下载执行:

Power Hover攻击修改的xml文件


随着漏洞CVE-2021-40444漏洞的修复,类似”file:///”的URL Scheml被禁用,即使可以利用文章中提及的方式触发执行本地文件,但也已经无法再通过URL超链接下载远端载荷。而通过文档中类似事件的触发,结合SyncAppvPublishingServer.vbs调用PowerShell,实现载荷的下载执行,再次将恶意文档防御撕开了口子。


02 总结

在本次事件中,攻击者利用钓鱼文档另辟蹊径,以鼠标悬停事件作为触发点,结合本地脚本执行,完成载荷的投递与执行。在宏、URL Scheml等内置功能被一再限制的今天,攻击者在文档攻击场景中寻求新的攻击方式,利用鼠标悬停事件触发执行的新方式便是在这个背景下产生的。文档攻击依然是实现社工突破的重要手段,其衍生出的新恶意利用方式值得持续关注与防范。


绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。


M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


往期推荐





您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存