网络安全公司Lastline2017年12月初发现一种利用Office Excel表格的新型攻击技术，且最近刚扩展到其它Office应用程序。研究人员发现一种新型恶意Office Excel文件，该文件可以下载并执行恶意软件，但该文件中并无宏、shellcode或者DDE代码的蛛丝马迹。且当研究人员提交文件到Virustotal(提供免费的可疑文件分析服务的网站)上扫描后，只有三款反病毒软件将其定义为恶意，因此这是一种针对Excel表格的新型攻击技术。

攻击与Payload

当用户打开这个Excel文件时，会弹出一个对话框，提示“需要更新工作簿(workbook)中的外部链接”。

外部链接(external links)

是微软Office的一个功能，作者可以通过外部资源链接来共享Office文档，无需将这些资源直接嵌入文档中，这样可以使整个文档的体积更小，更新起来也更加灵活。

从这个角度来看，这种攻击看起来与DDE攻击方法非常类似，DDE攻击是最近比较流行的Office文件利用技术，通过微软的动态数据交换(Dynamic Data Exchange)功能来执行外部代码。

一旦用户同意更新链接，该文档就会立即创建cmd/PowerShell进程，该进程会下载并执行下一阶段载荷(exe文件)：执行恶意软件。

鉴于只有三款软件检测到此类攻击，因此哪怕扫描到Excel感染也被认为是误报，可能不会进一步调查或予以补救。研究人员确认后发现，Excel脚本程序传送的Payload为Loki(一款臭名昭著的“凭证窃取”恶意软件)。

新型攻击利用Excel表格启动密码窃取恶意软件Loki Bot-E安全

新型攻击利用Excel表格启动密码窃取恶意软件Loki Bot-E安全

对于大多数安全响应团队而言，这是双重打击。首先，低检测率会让安全团队以为是误报。其次，即使他们发现了Loki，缓解方式常常被错误执行。当后续的威胁攻击者使用泄露的凭证取得未经授权的访问权并试图横向移动时，受害者容易遭遇二次“无恶意软件”攻击。

新型攻击利用Excel表格启动密码窃取恶意软件Loki Bot-E安全

研究人员 12月10日将该恶意Excel脚本程序提交到Virustotal扫描，60款反病毒工具中有12款软件将其检测为威胁。日志追踪后发现名为“_output23476823784.exe”的文件，约50%的检测引擎将该文件识别为恶意文件。

绝大多数反病毒软件将_output23476823784.exe Payload标记为木马，这表明它是一个Trojan.Generic Payload。

此Payload的真身：Loki Bot

行为智能(Behavioral Intelligence)进一步将存疑的Payload识别为Loki bot。

新型攻击利用Excel表格启动密码窃取恶意软件Loki Bot-E安全

图：Loki在黑市的广告宣传

Loki的宣传视频显示，它能捕获各种应用程序的凭证，尤其FireFox(47%的被盗凭证)和Chrome(41%)，Windows和电子邮件凭证仅占1%-3%。

新型攻击利用Excel表格启动密码窃取恶意软件Loki Bot-E安全

一旦窃取了受害者的凭证，Loki会显示易遭遇身份盗窃攻击的网站，包括社交媒体网站、支付门户网站、比特币钱包，甚至一个摩洛哥政府登录页面。

恶意软件LokiBot

2017年11月，由“BankBot”演变而来的恶意软件“LokiBot”，被称为是首个“变形金刚”式的Android 恶意软件，因为与其他银行劫持木马相比“LokiBot”具备其独特功能，可以根据不同目标环境发起相应攻击，比如主动向用户设备发起界面劫持、加密用户设备数据，勒索欺诈用户钱财、建立socks5代理和SSH隧道，进行企业内网数据渗透。

“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新，诱导用户安装。