基于Office嵌入式对象的点击执行社会工程技巧
字数 1480 2025-08-29 08:32:30

Office嵌入式对象点击执行社会工程攻击技术分析

技术概述

本文详细介绍了两种利用Microsoft Office文档中的嵌入式对象进行社会工程攻击的技术:

  1. Shell.Explorer.1 OLE对象:利用Windows资源管理器或Internet Explorer的嵌入式对象执行恶意代码
  2. Microsoft Forms 2.0 HTML控件:利用特定HTML控件的action属性执行恶意操作

这两种技术都需要用户交互,属于社会工程攻击范畴,微软认为这些技术需要大量社会工程手段,因此不会发布补丁。

Shell.Explorer.1攻击技术

技术原理

  • 对象CLSID: {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
  • 该对象在初始化时会解析嵌入的ShellLink(LNK)结构
  • 通过ID列表导航到指定文件、文件夹或网站

攻击方式

  1. 嵌入式Windows资源管理器

    • 打开攻击者控制的远程共享
    • 用户需要双击对象和共享中的文件
    • 可用于绕过文件夹访问限制或窃取NetNTLM哈希

  2. 嵌入式Internet Explorer

    • 触发文件下载功能
    • 用户只需两次点击(激活和运行/打开)
    • 可绕过Office 2016/365的文件扩展名黑名单

技术特点

  • 禁用IE保护模式,避免显示额外对话框(如UAC)
  • 使用非EXE文件类型(如SettingContent-ms)可绕过警告对话框

防御措施

  • 监控文档中的Shell.Explorer.1对象或CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
  • 从对象偏移量76处提取LNK文件分析ID列表

Microsoft Forms 2.0 HTML控件攻击技术

可用控件

  1. Forms.HTML:Image.1 (CLSID {5512D112-5CC6-11CF-8D67-00AA00BDCE1D})
  2. Forms.HTML:Submitbutton.1 (CLSID {5512D110-5CC6-11CF-8D67-00AA00BDCE1D})

攻击原理

  • 这些控件标记为对初始化安全,不要求启用ActiveX
  • 支持action属性,可接收URL
    • 常规URL在默认浏览器中打开
    • 文件URL(包括共享文件)直接打开

技术特点

  • Forms.HTML:Image.1可使用src属性伪装成嵌入式文档
  • 会显示警告对话框,但对所有文件类型相同
  • 文档包含Web标记时会显示更显眼的Internet下载警告

防御措施

  • 监控文档中的Forms.HTML:Image.1或Forms.HTML:Submitbutton.1对象
  • 检查相关CLSID
  • 注意ActiveX控件可能以多种方式存储(如PersistPropertyBag)

受保护的视图模式

  • 从Internet下载的文档包含Web标记(MOTW)
  • 受保护视图下禁用所有嵌入式对象
  • 需要用户点击"启用编辑"按钮才能激活对象

攻击缓解建议

  1. 应用程序白名单:限制可执行文件的运行
  2. 攻击面减少规则:限制Office文档中ActiveX控件的执行
  3. 网络监控:检测异常文档和网络活动
  4. 用户教育:提高对警告对话框的警惕性
  5. 文档分析:检查可疑的嵌入式对象和CLSID

总结

这两种技术展示了攻击者如何利用Office文档中的嵌入式对象进行社会工程攻击。虽然需要用户交互,但结合精心设计的诱饵文档,这些技术仍然具有较高的成功率。防御者应重点关注文档中的特定对象类型,并实施多层次防御策略。

Office嵌入式对象点击执行社会工程攻击技术分析 技术概述 本文详细介绍了两种利用Microsoft Office文档中的嵌入式对象进行社会工程攻击的技术: Shell.Explorer.1 OLE对象 :利用Windows资源管理器或Internet Explorer的嵌入式对象执行恶意代码 Microsoft Forms 2.0 HTML控件 :利用特定HTML控件的action属性执行恶意操作 这两种技术都需要用户交互,属于社会工程攻击范畴,微软认为这些技术需要大量社会工程手段,因此不会发布补丁。 Shell.Explorer.1攻击技术 技术原理 对象CLSID : {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} 该对象在初始化时会解析嵌入的ShellLink(LNK)结构 通过ID列表导航到指定文件、文件夹或网站 攻击方式 嵌入式Windows资源管理器 : 打开攻击者控制的远程共享 用户需要双击对象和共享中的文件 可用于绕过文件夹访问限制或窃取NetNTLM哈希 嵌入式Internet Explorer : 触发文件下载功能 用户只需两次点击(激活和运行/打开) 可绕过Office 2016/365的文件扩展名黑名单 技术特点 禁用IE保护模式,避免显示额外对话框(如UAC) 使用非EXE文件类型(如SettingContent-ms)可绕过警告对话框 防御措施 监控文档中的Shell.Explorer.1对象或CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} 从对象偏移量76处提取LNK文件分析ID列表 Microsoft Forms 2.0 HTML控件攻击技术 可用控件 Forms.HTML:Image.1 (CLSID {5512D112-5CC6-11CF-8D67-00AA00BDCE1D} ) Forms.HTML:Submitbutton.1 (CLSID {5512D110-5CC6-11CF-8D67-00AA00BDCE1D} ) 攻击原理 这些控件标记为对初始化安全,不要求启用ActiveX 支持 action 属性,可接收URL 常规URL在默认浏览器中打开 文件URL(包括共享文件)直接打开 技术特点 Forms.HTML:Image.1可使用 src 属性伪装成嵌入式文档 会显示警告对话框,但对所有文件类型相同 文档包含Web标记时会显示更显眼的Internet下载警告 防御措施 监控文档中的Forms.HTML:Image.1或Forms.HTML:Submitbutton.1对象 检查相关CLSID 注意ActiveX控件可能以多种方式存储(如PersistPropertyBag) 受保护的视图模式 从Internet下载的文档包含Web标记(MOTW) 受保护视图下禁用所有嵌入式对象 需要用户点击"启用编辑"按钮才能激活对象 攻击缓解建议 应用程序白名单 :限制可执行文件的运行 攻击面减少规则 :限制Office文档中ActiveX控件的执行 网络监控 :检测异常文档和网络活动 用户教育 :提高对警告对话框的警惕性 文档分析 :检查可疑的嵌入式对象和CLSID 总结 这两种技术展示了攻击者如何利用Office文档中的嵌入式对象进行社会工程攻击。虽然需要用户交互,但结合精心设计的诱饵文档,这些技术仍然具有较高的成功率。防御者应重点关注文档中的特定对象类型,并实施多层次防御策略。