根据技术博客Barkly在上周发表的一篇文章来看,安全研究人员Derek Knight(@dvk01uk)已经发现了一系列新的垃圾电子邮件活动,采用了一种较为新颖的方法来感染受害者。这些活动并未使用Word文档或其他常被滥用的附件类型,而是使用Web查询文件(.iqy)——本质上是一种简单的文本文件,默认在微软Excel中打开,用于从因特网下载数据。
Excel专家Jon Wittwer对.iqy文件的评价是——“基本上就像在Excel中内置了一个web浏览器”。它危险之处在于,能够被滥用于将功能强大的实用工具打包成一种极其简单、合法的文件格式,而这不足以引起杀毒软件的反应。正如Derek Knight指出的那样,“这些文件通过了所有的杀毒软件,因为它们没有恶意内容。”
目标在于传播FlawedAmmyy RAT
在Derek Knight发现的这一系列垃圾电子邮件活动中,.iqy文件会下载一个PowerShell脚本,该脚本通过微软Excel启动并执行一系列恶意下载。
第一批利用.iqy文件的垃圾电子邮件于2018年5月25日发出,来自目前全球最大的垃圾邮件僵尸网络Necurs。 随后,一个较小的峰值在2018年6月5日被探测到。仅在两天之后,也就是2018年6月7日,Derek Knight发现了第三波活动。
出现在所有这些活动中的电子邮件,其正文只有很少,甚至是没有内容。这是一种很典型的垃圾电子邮件类型。例如,在第一波活动中,邮件的主题是“未付发票[ID: xxxxxxxxx]”,正文完全没有任何内容,并且看起来像是来自目标组织的内部人员。
正如前面提到的那样,几乎所有杀病毒软件在.iqy文件面前似乎都显得毫无意义。根据VirusTotal,第一波活动中出现的.iqy文件在当天完全没有被检测到。直到Derek Knight通过Twttier公布了他的发现之后,在第二天才开始有杀毒软件陆续将其检测出来。
打开时,.iqy文件将通过微软Excel(其默认打开程序)启动,并尝试从内部包含的URL中提取数据。正如Jon Wittwer指出的那样,.iqy文件的基本形式非常简单。例如,在记事本中打开在第二波活动中出现的.iqy文件看起来像这样(只是几行文字):
一个.xls文件将被下载,该文件实际上是一个伪装的.exe文件。最终的有效载荷是FlawedAmmyy,这是一种由网络安全公司Proofpoint发现的远程访问木马(RAT)。
FlawedAmmyy由流行的远程桌面软件Ammyy Admin泄露的源代码构建而成,它具有提供Ammyy Admin的许多功能。简单来说,它基本上允许攻击者获取到对受感染计算机的完全访问,允许他们窃取文件和凭证、劫持计算机以发送更多垃圾电子邮件等等。
额外的潜在(甚至更危险)威胁
安全专家认为,.iqy文件的危险性远远超出这些具体的活动。创建.iqy文件容易程度,外加上无处不在的Excel,甚至可能使.iqy文件在滥用的可能性方面与宏大致相当。
尽管.iqy文件的危险性到目前为止还没有完全展现出来,但并不是完全没有记录。早在2015年8月,Casey Smith就曾介绍了关于滥用.iqy文件来开展网络钓鱼活动的可能性。而现在,它正被Necurs这样的大型僵尸网络用于发起多起活动,这很可能意味着更广泛的滥用可能正在发生。
我们建议各位管理员应及时调整防火墙和电子邮件过滤规则,以阻止.iqy文件。另外,除非你需要频繁使用.iqy文件,否则明智的做法应该是进一步设置Windows始终在记事本中打开.iqy文件。