FreeBuf|Excel文档暗藏危机？黑客利用.NET库生成恶意文件可绕过安全检测 Excel文档是十分常见的办公软件

Excel文档是十分常见的办公软件，一旦被黑客盯上，足以让大批量的用户中招。用相同的Excel文档混淆用户视线，表面“波澜不惊” ，实则“暗藏危机” 。

文章图片
近期， NVISOLabs的安全研究人员发现一个新型恶意软件团伙利用一个新技术生成Excel文件，无需使用MicrosoftOffice即可创建包含大量宏的Excel工作簿，这些恶意Excel文件比较难被检测到，可绕过系统的安全检测。
该恶意组织团伙名为“EpicManchego” ，自6月起，一直有所动作，主要活动是在世界范围内，向企业发送带有恶意Excel的网络钓鱼邮件。
这些Excel文件暗藏“猫腻” ，不是人们使用的常规的表格文件，它们可绕过安全扫描程序，检测率较低。
恶意表格文件由EPPlus编译这些恶意Excel文件也是“出身不凡” ，它们并不是在常规的MicrosoftOffice软件中编译的，而是在带有EPPlus的.NET库中编译的。开发人员会使用该库来添加“导出为Excel”或“另存为电子表格”的功能，简单来说，可用来生成多种电子表格格式的文件，甚至支持Excel2019 。
“当我们注意到恶意文件没有经过编译的代码，并且也缺少Office元数据时，我们很快想到了EPPlus 。该库还将创建OOXML文件，而无需编译VBA代码和Office元数据。 ”安全研究团队在报告中写到。
EpicManchego利用该库中的EPPlus来生成OfficeOpenXML（OOXML）格式的电子表格文件。 EpicManchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码，该代码专门用于在Microsoft专有Office软件中编译的Excel文档。
OOXML文件格式是一种开放包装约定（OPC）格式：一种ZIP容器，主要包含XML文件，可能还包含二进制文件。它最初是由Microsoft在Office2007发行版中引入的。 OOXML电子表格使用扩展名.xlsx和.xlsm（用于带有宏的电子表格）。
使用EPPlus创建VBA项目时，它不包含已编译的VBA代码。 EPPlus没有创建编译代码的方法：创建编译VBA代码的算法是Microsoft专有的。
杀毒软件则是通过查找VBA代码这一部分来实现恶意Excel文件检测功能，由此可以解释为什么EpicManchego生成的恶意Excel文件检测率低于其他恶意Excel文件了。
已编译的VBA代码可以存储攻击者的恶意代码。比如EpicManchego以自定义VBA代码格式存储了他们的恶意代码，该格式也受到密码保护，以防止安全系统和研究人员分析其内容。

文章图片
尽管生成恶意Excel的文件的方式不同，但是由EPPlus生成的电子表格仍然可以像正常Excel文档那样工作。这让用户很难辨别和发现Excel表格的异样了。
自6月起，该恶意文档的运营商开始活跃，其中包含恶意宏脚本。如果打开Excel文件的用户允许执行脚本（通过单击“启用编辑”按钮），那么宏将在目标用户的系统中下载并安装恶意软件。
下载的恶意程序大多是那些经典的窃密木马，比如Azorult、AgentTesla、Formbook、Matiex、和njRat ，这些木马程序可以将用户浏览器、电子邮件和FTP客户端的密码转储，并将这些发送到EpicManchego的服务器中。
安全研究团队NVISO表示，他们发现了200多个链接到EpicManchego的恶意Excel文件，第一个可追溯到今年6月22日。

文章图片
修复建议过滤电子邮件附件和从组织外部发送的电子邮件；
实施功能强大的端点检测和响应防御；
增强网络钓鱼意识培训并执行网络钓鱼练习