Excel 4.0 巨集,也稱為 XLM 4.0 巨集,是 Microsoft Excel 於 1992 年推出的良性錄製和重播功能。這段程式碼是用於在 Excel 中自動執行重複性任務的解決方案,但不幸的是,它也是惡意軟體傳遞的隱蔽後門。
與其前身 Visual Basic for Application (VBA) 巨集一樣,Excel 4.0 巨集越來越多地被用於儲存隱藏的惡意軟體。威脅行為者可以很容易地將這一已有 30 年歷史的功能武器化,以創建新的攻擊技術,因為他們可以混淆 XML 代碼以隱藏可疑的巨集。
之所以如此普遍,是因為Excel 4.0巨集是Excel核心功能的基本公式元件。它們在各種業務流程中定期使用,不太可能被禁用或棄用。正因為如此,惡意軟體作者經常透過巨集代碼將惡意有效負載潛入 Excel 檔案案中,並將其作為電子郵件附件傳遞,就像他們在第一次巨集 4.0 事件中所做的那樣。
第一次 Excel 4.0 巨集攻擊
自 2020 年 2 月中旬第一波巨集觀 4.0 攻擊以來[1],大量網路犯罪分子採用了這種技術。它涉及一個受感染的工作表,其中包含隱藏在公式中的惡意命令,作為 Excel 檔附件的一部分發送。
攻擊者使用社會工程策略來引誘目標打開檔。打開後,要求受害者按兩下啟用編輯按鈕,這將啟用惡意巨集。
在第一次攻擊之後,威脅行為者繼續利用這種規避技術來製造更多攻擊,並在 2020 年 5 月至 7 月期間達到峰值[2]。
“非常隱藏”的巨集
可以使用混淆策略悄悄地在 Excel 檔案中插入和隱藏巨集。
例如,工作表設置為「非常隱藏」,這意味著此工作表無法透過 Excel UI 輕鬆存取,並且如果沒有外部工具的説明就無法顯示。隱藏在 Excel 工作表中的巨集可以透過 Web 查詢觸發,也可以在執行公式時下載惡意軟體。威脅行為者利用此漏洞透過檔案上傳或電子郵件附件提供惡意負載,並利用系統漏洞創建新的攻擊媒介。
攻擊者利用這種策略與基於恐懼的社會工程策略相結合,在受感染的設備上獲得遠端存取並運行命令。早在 2020 年 5 月,該技術就被濫用,以至於 Microsoft 不得不警告公眾注意 COVID-19 網路釣魚活動[3]。攻擊者以「世衛組織COVID-19情況報告」為主題,冒充約翰霍普金斯中心發送了電子郵件。
附加的 Excel 檔包含一個隱藏的惡意巨集,該巨集下載並運行 NetSupport Manager RAT,這是一種允許遠端存取的管理工具。
防止惡意檔案上傳
遷移到 VBA
意識到這些漏洞,Microsoft一直在鼓勵用戶轉向Visual Basic for Applications(VBA)[4]。與 VBA 配對的反惡意軟體掃描介面 (AMSI) 可以對 VBA 中的巨集行為進行深入檢查,使系統能夠在運行時掃描可疑巨集和其他惡意活動。
將AMSI與 Microsoft Office 整合
Microsoft 還支援將AMSI與 Office 365整合,以包括Excel 4.0巨集的運行時掃描,以幫助檢測和阻止基於 XLM 的惡意軟體。
使用 Deep CDR 刪除巨集有效負載和所有惡意軟體
我們的威脅防護技術假定所有檔都是惡意的,然後清理和重建每個檔案,確保在安全內容到達使用者時完全可用。詳細瞭解 Deep CDR(檔案無毒化) 如何防止 Excel 檔中的規避技術 以及 VBA 踩踏 maldoc 技術。
此外 OPSWAT 允許使用者整合多種專有技術,以提供額外的惡意軟體保護層。其中一個例子是多防毒引擎掃描,它允許使用者同時掃描 30+ 反惡意軟體引擎(利用 AI/ML、簽名、啟發式等),以實現接近 100% 的檢測率。相比之下,單個AV引擎平均只能檢測到40%-80%的病毒。
瞭解有關 Deep CDR(檔案無毒化)、 多防毒引擎掃描和其他技術的更多資訊;或 與 OPSWAT 專家 ,以發現最佳安全解決方案,以防範來自高階規避惡意軟體的零時差攻擊和其他威脅。
引用
1 詹姆斯·豪姆(James Haughom),斯特凡諾·奧托拉尼(Stefano Ortolani)。“Excel 4.0 巨集觀武器化的演變。”最後一行。六月 2, 2020, https://www.lastline.com/labsb....
2 拜巴夫·辛格。“Excel 4.0 巨集觀武器化的演變 - 第 2 部分。”VMware的。10月14, 2020. https://blogs.vmware.com/netwo....
3 菲爾·蒙卡斯特。“Microsoft警告老鼠 #COVID19”大規模“的警告。”資訊安全雜誌。5月 21, 2020, https://www.infosecurity-magaz....
4 “XLM + AMSI:針對 Excel 4.0 巨集惡意軟體的新運行時防禦”。Microsoft。3月3, 2021.XLM + AMSI:針對 Excel 4.0 巨集惡意軟體的新運行時防禦 |Microsoft 安全文章。
