PowerPoint自定义操作来代替宏触发恶意 Payload2016年3月12

在分析演示文档的内容后，我们很明显的发现者采用了一系列的方法来隐藏脚本。首先，使用一幅看起来像是幻灯片头部的图片盖住嵌入式对象的图标，我们可以很容易的将这幅图像移开来开展进一步的检测。

当用户打开演示文档时，文档会进入放映视图并开始播放第一张幻灯片，这样就会触发自定义操作来执行嵌入的恶意 Payload。当执行嵌入内容时，用户会收到一个安全询问是否要打开/执行文件。

在我们发现的样本中，脚本被命名为 Powerpoint.vbe 来诱使用户执意的 Payload。

下面这个脚本来源于微软TechNet 库中常用于解码经过编码的 VB 脚本

默认情况下，被插入的对象会存储在文档的 ppt/embeddings 目录下并命名为 oleObject1.bin，名字中的数字会随着嵌入对象数量的增加而增加。

在对最近的网络钓鱼进行分析时我们发现，者开始使用 PowerPoint 自定义操作来代替宏触发恶意 Payload。虽然使用 PowerPoint 附件并不新鲜，但这种还是很有趣的，因为他们可以绕过 Office 附件启用宏的控制器。

2. 自定义操作设置为进行“上一张”操作并自动触发“活动内容”来执行嵌入的 OLE 对象。

1. 者创建一个新的 PowerPoint 文档并插入恶意脚本或可执行文件。插入的文件会被嵌入为一个 OLE 对象中。

3. 最后将文档保存为 PowerPoint 放映文件，这样当文件被打开时就会立刻进入放映视图。

使用工具 psparser.py 我们可以检查被嵌入文件的文档中对象的元数据并提取出恶意的 Payload。

这个样本中嵌入的脚本 (Powerpoint.vbe) 会从 hxxp://secureemail[.]bz/updater.exe 下载并执行文件 “updater.exe”(c098a36309881db55709a759df895803)。