最近，思科Talos团队观察到有攻击者试图利用ODT文件来绕过杀毒软件的查杀，进而传播包括AZORult间谍软件在内的计算机病毒。

Talos团队表示，ODT文件之所以能够绕过杀毒软件的查杀，是因为目前市面上的大多数杀毒软件都将ODT文件视为标准的压缩文件，并且没有应用与Office文件相同的查杀规则。

此外，一些沙箱也无法分析ODT文件，原因同样是它被视为压缩文件，并且这些沙箱也不会将它作为Office文件打开。

样本1：带有OLE对象和HTA脚本的ODT文件

Talos团队捕获的首个样本是一个带有嵌入式OLE对象（必须点击提示才会执行）的ODT文件，有阿拉伯语版本和英语版本，如下图所示：

执行后，OLE对象会部署了一个HTA脚本并执行它：

接下来，HTA脚本会从ttop4top[.]net（一个受欢迎的文件托管平台）上*载下**一个文件：

分析表明，*载下**的文件是一个远程管理工具（RAT）。

其中，阿拉伯语版本*载下**的远程管理工具是NJRAT，C2服务器是amibas8722[.]ddns[.]net，指向阿尔及利亚互联网服务提供商：

英语版本*载下**的远程管理工具是RevengeRAT，C2服务器隐藏在Portmap平台（wh-32248[.]portmap[.]io）中。 PE存储在注册表中，并使用计划任务和PowerShell脚本执行：

样本2：带有OLE对象和嵌入式恶意软件的ODT文件

第二个样本同样带有一个OLE对象，同样需要用户交互：

执行后，表面看上去是可执行文件但其实是一个压缩文件（经过多层压缩，使用到的工具包括Goliath、babelfor.NET和9rays等）的“Spotify*ex.e**”将会被写入受感染计算机。

解压缩后，最终的有效载荷为AZORult。我们可以在最终的二进制文件中看到它的典型字符串：

样本3：带有StarSuite Basic代码的ODT文件

第三个样本针对的是OpenOffice和LibreOffice，而不是Microsoft Office。攻击者在StarOffice Basic中使用了Microsoft Office文档中的宏，StarOffice Basic的代码位于ODT文件中的Basic/Standard/ repository：

示例如下：

这段代码的作用是*载下**并执行一个名为“plink”的二进制文件，进而*载下**下一阶段有效载荷——开源漏洞检测工具Metasploit。

此外，一些经过混淆处理的版本，还试图使用WMI来执行*载下**的有效载荷：

值得一提的是，这些样本仅针对的是使用OpenOffice和StarSuite的用户，最终有效载荷是什么尚不清楚。

结论

Microsoft Office文件一直被攻击者广泛利用，这种广泛程度就如同Microsoft Windows是最受攻击者喜爱的操作系统一样。ODT文件的使用表明，攻击者似乎正在尝试改变他们的感染机制，以确保感染的成功率。

正如文章一开始所指出的那样，一些杀毒软件和沙箱并没有适当的方法来处理ODT文件，于是就导致了几乎为零的检出率。尽管使用这种文件格式的人并不多，但用它来攻击特定的目标，成功率显然会很高。