研究人员警告称，攻击者正使用嵌入恶意宏的Word文档和PowerShell，用非硬盘驻留型恶意软件感染计算机。

 

带有恶意宏的Word骚扰文档在过去几个月内成为了感染计算机的主流手段之一。如今攻击者更进一步，使用此类文档传输非硬盘驻留型(Fileless)恶意软件。这种恶意软件没有文件实体，可以直接加载到受害计算机的内存中。

安全研究人员分析了近期发生的一次攻击事件。事件中，攻击者向美国、加拿大和欧洲的企业电子邮件地址发送恶意Word骚扰文件。他们发送的邮件带有收件人的名字以及公司的详细信息，这在广于撒网的骚扰攻击活动中并不多见。研究人员认为，邮件内容中带有详细信息更有可能引诱受害者打开附件。

如果受害者打开邮件附件并允许宏，恶意软件将用特定的命令行参数秘密执行powershell.exe的一个实例。Windows PowerShell是一种任务自动化及配置管理框架，Windows 默认带有该软件，它还有自己的脚本语言。

这种攻击中执行的PowerShell命令被用于检查Windows系统是32位还是64位的，并相应下载额外的PowerShell脚本。

恶意脚本会对计算机进行一系列检查。首先，它试图确定运行环境是否为虚拟机或沙盒，就像恶意软件分析师使用的那些一样；之后，它扫描网络配置文件，寻找学校、医院、大学、医疗、护士等字段；它还会扫描网络上的其它计算机，寻找老师、学生、校董会、儿科、整形外科、POS、卖场、商店、销售等字段； 它还会扫描受害计算机上缓存的 URL，寻找金融网站，以及Citrix 、XenApp 等字段。

Palo Alto研究人员表示，这类检查的目标在于，寻找用于金融转账的系统，并避开属于安全研究人员、医疗和教育机构的系统。只有满足攻击者筛选要求的系统才会被标记并向幕后控制服务器上报。

 

恶意脚本会在这些系统上下载加密的恶意DLL文件，并将其加载入内存。Palo Alto公司研究人员在发表的一篇博文中称，“骚扰邮件的内容相当详细，还使用了内存驻留型恶意软件，我们认为这种攻击应当被视为高级别威胁。”

来自SANS研究所互联网风暴中心(Internet Storm Center)的研究人员上周也观测到一种与此类似的攻击活动，过程中结合了PowerShell和非硬盘驻留型恶意软件。

这种恶意软件会创建一个注册表键，在每次系统启动时运行隐藏的PowerShell实例。PowerShell命令将运行存储在另外的注册表键zho编码过的脚本。这种处理方式可以在不向硬盘写入的前提下将可执行文件解密并直接加载入内存。

SANS研究所资深讲师马克·巴吉特(Mark Baggett)在博文中写道：“通过使用 PowerShell ，攻击者能够将可能在硬盘上被检测到的恶意软件放进Windows注册表中。”

将恶意软件存储在注册表中、 通过滥用Windows PowerShell将恶意宏加到文档上都并不是新技术。然而，两者的结合可能制造强有力且很难发现的攻击。

(责任编辑：安博涛)