威胁行为者围绕微软在 Office 中的宏观封锁

研究人员发现，由于威胁传递的主要渠道被切断，威胁参与者正在绕过微软在其 Office 套件中默认阻止宏的方法，使用替代文件来托管恶意负载。

根据 Proofpoint 的新数据显示，在 66 年 2021 月至 2022 年 XNUMX 月期间，威胁参与者对启用宏的附件的使用减少了约 XNUMX% 在一篇博客文章 周四。 减少的开始恰逢微软计划开始默认为 Excel 用户阻止 XL4 宏，随后是今年在 Office 套件中默认阻止 VBA 宏。

Proofpoint 威胁研究团队的研究人员 Selena Larson、Daniel Blackford 和其他人在一个帖子。

尽管网络犯罪分子目前继续在网络钓鱼活动中使用的恶意文档中使用宏，但他们也开始围绕微软的防御策略转向其他文件类型作为恶意软件的容器——即 ISO 和 RAR 附件等容器文件以及他们说，Windows 快捷方式 (LNK) 文件。

事实上，研究人员发现，在启用宏的文档的使用减少的同一八个月时间内，利用包括 ISO、RAR 和 LNK 附件在内的容器文件的恶意活动数量增加了近 175%。

“威胁行为者很可能会继续使用容器文件格式来传递恶意软件，同时减少对启用宏的附件的依赖，”他们指出。

不再使用宏？

用于自动化 Office 中经常使用的任务的宏一直是最常用的 流行的方式 在恶意电子邮件附件中传递恶意软件至少 十年的大部分时间，因为在出​​现提示时，只需在用户的部分上单击鼠标即可允许它们。

宏在 Office 中早已默认禁用，尽管用户始终可以启用它们——这使得攻击者可以武器化 VBA 宏（在 Office 应用程序中启用宏时可以自动运行恶意内容）以及 Excel 特定的 XL4 宏. 通常演员使用 社会工程 网络钓鱼活动 说服受害者启用宏，以便他们可以打开他们不知道的恶意文件附件。

Proofpoint 研究人员表示，虽然到目前为止，微软完全阻止宏的举动并没有阻止威胁参与者完全使用它们，但它刺激了这种向其他策略的显着转变。

研究人员指出，这种转变的关键是绕过微软基于 Web 标记 (MOTW) 属性阻止 VBA 宏的策略，该属性显示文件是否来自称为 Zone.Identifier 的互联网。

他们写道：“微软应用程序在从网络上下载某些文档时会将其添加到这些文档中。” “但是，可以通过使用容器文件格式绕过 MOTW。”

事实上，IT 安全公司 Outflak 很方便 详细 根据 Proofpoint 的说法，专门从事攻击模拟的道德黑客（被称为“红队”）有多种绕过 MOTW 机制的选择。 研究人员表示，该帖子似乎并没有被威胁行为者忽视，因为他们也已经开始部署这些策略。

文件格式切换器

研究人员表示，为了绕过宏阻塞，攻击者越来越多地使用 ISO (.iso)、RAR (.rar)、ZIP (.zip) 和 IMG (.img) 文件等文件格式来发送启用宏的文档。 研究人员指出，这是因为尽管文件本身将具有 MOTW 属性，但内部的文档（例如启用宏的电子表格）不会。

他们在帖子中写道：“当文档被提取时，用户仍然必须启用宏才能让恶意代码自动执行，但文件系统不会将文档识别为来自网络。”

此外，威胁参与者可以使用容器文件通过添加其他内容（例如 LNK、 DLL文件，或可执行 (.exe) 文件，可用于执行恶意负载，研究人员说。

Proofpoint 还发现，在恶意活动中滥用 XLL 文件（一种用于 Excel 的动态链接库 (DLL) 文件）的情况略有增加，尽管增幅不如 ISO、RAR 和 LNK 文件的使用显着增加，他们指出。