微軟預設封鎖了Office 巨集,駭客目標轉向容器檔和LNK檔

微軟近日封鎖網路下載Office文件的巨集後,有好消息也有壞消息。

微軟近日封鎖網路下載Office文件的巨集後,有好消息也有壞消息。好消息是釣魚信件附檔或連結中大量減少使用Office巨集。壞消息是,網路不肖人士改使用別的檔案類型,例如.LNK及ISO、RAR檔。

根據安全廠商Proofpoint 的研究,在微軟出手封鎖Office巨集後,釣魚信件的ISO、RAR等容器檔,以及Windows 捷徑檔(LNK)使用大量增加。

最大的轉捩點在今年1月微軟宣佈預設封鎖網路下載的Office XL4巨集,並預告4月封鎖VBA (Visual Basics for Application, VBA)巨集,後者雖然一度暫緩,不過也正式在7月底正式實施

安全廠商發現,去年10月到今年上半為止最值得注意的是,使用Office惡意巨集的比例少了66%,但使用ISO、RAR等容器檔及LNK附件等攻擊,則增加了將近175%。

其中使用ISO檔的案例增加150%,攻擊者以發票或其他名目騙用戶點選開啟,這些ISO檔中啟動會在用戶電腦安裝惡意DLL檔,例如在韓國流行的Bumblebee,或以LNK蒐集CPU序號、機器ID或MAC Address等。此外,自2月以來至少有10起釣魚信件採用LNK檔,較去年10月成長了1,675%倍。Proofpoint也觀測使用LNK檔手法的網路犯罪(如詐騙)及國家支持的進階持續性滲透攻擊(APT)攻擊。

研究人員解釋,這是駭客界因應微軟封鎖VBA巨集的行為轉變。因為Office之所以能封鎖VBA巨集,靠得是偵測附檔的Mark of the Web (MOTW)屬性,但是容器檔如ISO、RAR、ZIP檔、IMG檔本身是合法檔案,可以通過MOTW的偵測,並將內含的(如試算表)惡意巨集、或是惡意LNK、DLL、EXE檔安裝在用戶電腦中。

另外,釣魚郵件附檔使用改寫的HTML檔(又稱為「HTML走私/ HTML Smuggling」手法)散布惡意程式的情形,今年上半些微增加。

來源:ZDNet

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416