今年年初以來,微軟觀察到使用宏的惡意軟件數量迅速增加。宏病毒在多年前曾經非常流行,之后便銷聲匿跡。如今這種“古老”的攻擊方式結合釣魚郵件、社會工程學進行傳播,大有卷土重來之勢。
數量大幅回升
在2006年左右,大量的惡意軟件都通過Word/Excel宏的方式傳播到受害者電腦上,惡意軟件的執行都依賴于“自動執行宏”選項,當時通過這種方式傳播還比較有效。雖然之后“宏病毒”消失于人們的視野,但在今年,包含惡意軟件的宏數量再次上升,并且新的惡意軟件更加高級,有些還使用社會工程學手段來誘導用戶啟用宏。
在今年年初,微軟惡意軟件防護中心(MMPC)發出警報,提示使用基于宏的木馬來傳播惡意代碼惡意感染活動的激增。微軟的研究人員發現基于開啟宏的惡意軟件迅速增加,其中最活躍的惡意代碼包括Adnel和Tarbir。此外,去年TrendLabs實驗室的專家們發現,網絡攻擊者使用Windows PowerShell命令并通過惡意宏下載器傳播ROVNIX。今年年初,專家們注意到網絡罪犯在Microsoft Word中使用惡意宏傳播網銀木馬VAWTRAK。
勒索軟件常用
一個實際的例子就是Dridex銀行木馬和勒索軟件TorrentLocker,兩者都是通過宏來傳播。通常來說,都是以包含感染宏的惡意郵件開始,這些宏會包括一個XML文件,攻擊者會利用該XML文件來誘導用戶啟用宏。
Trustwave Karl Sigler的研究員解釋道:
“XML文件是辦公文檔doc舊的二進制格式,一旦你雙擊打開它,與Microsoft Word關聯的文件也會打開。”
微軟惡意軟件防護中心對攻擊者所采用的手段做了如下評論:
“瞄向郵件用戶并包含惡意代碼的宏文檔會故意激起受害者的好奇心,通常其主題會包括銷售發票、聯邦稅收單、快遞通知、簡歷及捐款確認等,這通常能夠輕易誘導受害者閱讀郵件并打開附件,而打開附件時通常會要求啟用宏,如果用戶在不知情的情況下啟用了宏,那么基于宏的惡意軟件也會運行。”
當用戶上鉤之后,惡意軟件就開始運行并執行操作:下載有效載荷、安裝其他軟件、遠程連接到服務器并安裝更多令人厭煩的軟件。
安全建議
為了防范基于宏的惡意軟件,用戶需要確保默認情況下宏被禁用,并時刻注意你點擊和授權的文件。
京公網安備 11010502049343號