微軟預設封鎖了 Office 巨集，駭客目標轉向容器檔和 LNK 檔

微軟近日封鎖網路下載 Office 文件的巨集後，有好消息也有壞消息。好消息是釣魚信件附檔或連結中大量減少使用 Office 巨集。壞消息是，網路不肖人士改使用別的檔案類型，例如.LNK 及 ISO、RAR 檔。

根據安全廠商 Proofpoint 的研究，在微軟出手封鎖 Office 巨集後，釣魚信件的 ISO、RAR 等容器檔，以及 Windows 捷徑檔 (LNK) 使用大量增加。

最大的轉捩點在今年 1 月微軟宣佈預設封鎖網路下載的 Office XL4 巨集，並預告 4 月封鎖 VBA (Visual Basics for Application, VBA) 巨集，後者雖然一度暫緩，不過也正式在 7 月底正式實施。

安全廠商發現，去年 10 月到今年上半為止最值得注意的是，使用 Office 惡意巨集的比例少了 66%，但使用 ISO、RAR 等容器檔及 LNK 附件等攻擊，則增加了將近 175%。

其中使用 ISO 檔的案例增加 150%，攻擊者以發票或其他名目騙用戶點選開啟，這些 ISO 檔中啟動會在用戶電腦安裝惡意 DLL 檔，例如在韓國流行的 Bumblebee，或以 LNK 蒐集 CPU 序號、機器 ID 或 MAC Address 等。此外，自 2 月以來至少有 10 起釣魚信件採用 LNK 檔，較去年 10 月成長了 1,675% 倍。Proofpoint 也觀測使用 LNK 檔手法的網路犯罪（如詐騙）及國家支持的進階持續性滲透攻擊（APT）攻擊。

研究人員解釋，這是駭客界因應微軟封鎖 VBA 巨集的行為轉變。因為 Office 之所以能封鎖 VBA 巨集，靠得是偵測附檔的 Mark of the Web (MOTW) 屬性，但是容器檔如 ISO、RAR、ZIP 檔、IMG 檔本身是合法檔案，可以通過 MOTW 的偵測，並將內含的（如試算表）惡意巨集、或是惡意 LNK、DLL、EXE 檔安裝在用戶電腦中。

另外，釣魚郵件附檔使用改寫的 HTML 檔（又稱為「HTML 走私/ HTML Smuggling」手法）散布惡意程式的情形，今年上半些微增加。

來源：ZDNet