微軟關閉Office宏,黑客又使用了新的攻擊方法
微軟關閉Office XL4及VBA宏后,黑客也調整了攻擊手法。安全廠商發現,釣魚詐騙黑客已減少使用包含宏的文件,而改使用ISO、RAR、LNK等類型文件感染用戶。
微軟分別在去年10月和今年2月宣布關閉XL4及VBA宏(后者延至7月正式實施),安全廠商Proofpoint分析去年10月到今年6月惡意電子郵件包含的文件類型,以了解攻擊者的行為變化。
分析顯示,這段期間內,附件包含VBA和XL4宏的郵件攻擊銳減66%。但使用ISO、RAR等容器檔及LNK附件的郵件攻擊,增加了將近175%。
微軟阻擋VBA宏是根據郵件附件的Mark of the Web(MOTW)屬性,但是使用容器文件格式,像是ISO、RAR、ZIP等,以及圖片文件(.IMG)文件,則可以繞過MOTW的偵測。ISO、RAR及ZIP檔本身有MOTW,但內置的惡意宏文件(如試算表)沒有,因而仍可在用戶解壓縮后,啟動宏引發程序執行。此外,容器文件內也可以加入LNK、DLL或EXE檔,直接在用戶計算機安裝惡意程序。
根據Proofpoint的分析,從去年10月以來該公司觀測到的15波郵件攻擊中,使用ISO文件的情形占了2/3,增加150%,其中在韓國傳播的Bumblebee惡意軟件,攻擊者是在釣魚郵件中附加ISO文件,其中包含LNK及DLL檔,以發票或其他請求誘使用戶打開(下圖)。
LNK附件相關的攻擊特別值得注意,從今年2月開始,至少有10個攻擊組織使用包含LNK檔的郵件,此類攻擊從去年10月以來增長了1,675%。Proofpoint也關注到多起使用LNK檔手法的網絡犯罪(如金錢詐騙)及國家黑客(APT)攻擊。
雖然整體趨勢上XL4宏的使用是減少的,但仍在今年3月增加。研究人員懷疑是代號TA542的黑客傳播Emotet,不過4月后,黑客改用XLL(Excel Add In)檔及壓縮LNK檔為附件來傳播這只惡意程序。
Proofpoint也觀察到附件使用改造過的HTML檔(又稱為“HTML走私”手法)傳播惡意程序的情形,在今年上半有些許增加的情形。
