為得青睞,惡意檔案誘騙偽裝樣樣來 第一季觀察到許多使用社交工程手法,試圖誘使目標對象下載並執行惡意檔案的攻擊。其中社交工程所利用的理由相當多元,下方案例以薪資問題為誘騙理由,要求受害者下載關聯檔案查看。實際上,下載下來的是經過打包的 PE 檔案,主要的組成為一個 PE 檔 WeChatAppUpdates.exe、一個dll檔 OutlookUpdate.dll 及一個作為餌的 Word 文件。首先會執行 WeChatAppUpdates.exe,WeChatAppUpdates.exe會先關閉宿主電腦上的Windows Error Reporting Service等服務,再啟動常駐後門。 值得注意的是,這個下載回來的惡意執行檔偽裝為 WORD 圖示,並且以一長串文字做為檔案名稱,如不仔細觀察很難發現這並非 WORD 檔案。且在不慎被執行之後,也會開啟一個 WORD 檔案做為煙霧彈。因此,受害者遭到後門植入後也很難在第一時間察覺異狀。
大量惡意的 Office 文件檔,透過遠端載入惡意範本躲避掃瞄 第一季我們發現大量的惡意 Office 文件被散播。這些郵件以英文或多國語言撰寫,使用冒名的社交工程手法。這些惡意檔案多半是 Office 文件以 ZIP 壓縮的 XML 包裹格式,如:.docx、xlsx…等。將打包惡意文件拆解開,其共通的手法:在惡意文件\文件格式\_rels\webSettings.xml.rels檔案內,載入一個遠端的惡意範本檔案。