安全研究人員再次證明了為什麼Microsoft承認「意外的巨集可能會帶來重大的安全風險」。。在最近的一篇 文章文章中,安全研究人員解釋了攻擊者如何使用巨集下載和執行惡意銀行木馬 ZLoader,而初始檔案中不存在任何惡意代碼。
攻擊的剖析始於一個無害的 Microsoft Word 檔案,該檔案利用巨集下載 Microsoft Excel 檔案。隨後,這將在 XLS 檔案中創建一個新巨集,並將註冊表策略更新為禁用 Excel 巨集警告。因此,Excel 檔可以執行其惡意巨集以下載 ZLoader,而不會發出任何警告。
與許多其他攻擊一樣,最初的 Microsoft Word 檔案以網路釣魚電子郵件的形式傳遞。但是,這種特殊的攻擊鏈是新穎的,因為任何防病毒或反惡意軟體引擎都不太可能檢測到初始巨集。當然,許多組織禁用巨集作為預設策略,但此初始 Microsoft Word 檔案的格式是敦促使用者「啟用編輯」和「啟用內容」。
這種社會工程和技術漏洞的結合使這種攻擊如此有效。
即使在天氣好的時候,防病毒和反惡意軟體引擎也難以跟上新威脅的數量,並且極易受到零時差威脅的攻擊。 OPSWAT 研究表明 ,需要 30 多個防病毒和反惡意軟體引擎才能達到 99% 以上的檢測率,因此多防毒引擎掃描解決方案可以顯著減少潛在惡意軟體的停留時間。隨著惡意軟體變得越來越複雜,即使是傳統的沙箱也可以被規避。新型威脅(例如此 ZLoader 巨集)在避免檢測方面非常有效。
檔案零信任
零信任安全模型已成為一種越來越流行的保護用戶和設備的方法,其智慧是“不 信任 任何人”,但這種智慧很少擴展到檔案安全。現在應該很明顯,隨著防病毒和反惡意軟體引擎繼續努力提高其檢測率,組織也應該“不信任檔”。
如果組織假定所有檔都是惡意的,則可以檢查,然後使用 檔案無毒化 (CDR) 技術清理其資料。
首先,CDR 將所有檔分解為離散元件,其中標識所有元素。通常,會刪除高風險巨集,從而消除任何潛在的惡意內容。接下來,CDR 會快速安全地從經過清理的元件中重建檔,同時保留其元資料和檔案特點。此外,客戶還可以將他們想要保留的特定巨集列入允許清單。重建的檔案在檔案結構完整性完好無損的情況下交付給最終使用者,而不會損失可用性。.
Deep CDR(檔案無毒化) 可清理和重建 100 多種常見檔案類型,並驗證 4,500 多種檔案類型。平均而言,Deep CDR(檔案無毒化) 的速度比大多數動態分析技術快 30 倍,並且可以阻止旨在逃避傳統沙箱環境的惡意軟體。Deep CDR(檔案無毒化) 還整合了 OPSWAT 多防毒引擎掃描、 主動資料外洩防護 (DLP) 和 檔案型的漏洞評估 技術。
當攻擊者可以使用巨集逃避檢測時,組織是否掃描惡意檔並不重要。當攻擊者可以禁用巨集警告時,Microsoft 是否警告使用者巨集的安全風險並不重要。當攻擊者可以利用精明的社會工程讓使用者重新啟用巨集時,組織是否禁用巨集並不重要。
真正重要的是擁抱「不信任檔」的心態,並制定政策和控制措施來實現這一理念。
OPSWAT 可以提供説明。 立即聯繫我們的網路安全專家 ,詳細瞭解如何使用 Deep CDR 清理資料。
