曾經(jīng)老舊的攻擊方式總是會(huì)以新的形式卷土重來，讓網(wǎng)絡(luò)罪犯再次將其用于創(chuàng)造利益。

這包括宏惡意軟件，即編碼在宏程序中的惡意軟件，當(dāng)目標(biāo)受害者打開文檔文件時(shí)便會(huì)執(zhí)行。我們看到舊的宏病毒作宏惡意軟件再次出現(xiàn)，并結(jié)合了過去20年的攻擊技術(shù)。不過，很多抵御第一代宏惡意軟件的相同的措施仍然可行，而且可以整合到現(xiàn)在使用的更安全的系統(tǒng)中。

[[149748]]

最新一代宏惡意軟件

Proofpoint公司報(bào)告稱，自2014年年底以來，在文檔附件中嵌入宏惡意軟件的網(wǎng)絡(luò)釣魚攻擊顯著增加。這些網(wǎng)絡(luò)釣魚電子郵件附件包含嵌入的宏病毒，當(dāng)收件人被引誘到打開目標(biāo)應(yīng)用時(shí)，宏病毒就會(huì)執(zhí)行。這實(shí)際上是一種社會(huì)工程攻擊，引誘用戶打開附件;當(dāng)打開時(shí)，宏就會(huì)執(zhí)行其惡意操作。

從花費(fèi)的時(shí)間和金錢來看，使用宏惡意軟件的攻擊要比尋找新的零日漏洞并將其用在路過式下載低得多。攻擊者肯定會(huì)計(jì)算攻擊取得成功并保持一段時(shí)間所需要付出的努力，以及多少網(wǎng)絡(luò)釣魚受害者最終會(huì)轉(zhuǎn)錢到釣魚攻擊者。

對(duì)于攻擊者而言，從資源和復(fù)雜性來看，宏病毒更加便宜。路過式下載需要找到Web瀏覽器中的漏洞，而且由于現(xiàn)在Web瀏覽器的安全性提高，攻擊者越來越難以找到漏洞以讓惡意代碼在主機(jī)操作系統(tǒng)運(yùn)行。另外，保持惡意軟件下載器更新以避免檢測還需要惡意軟件編寫者在找到可行的漏洞利用之前資源不會(huì)耗盡。而在另一方面，宏病毒可以分階段執(zhí)行攻擊，從下載惡意軟件到運(yùn)行漏洞利用。

企業(yè)如何抵御最新一代宏惡意軟件

抵御宏惡意軟件的最佳做法應(yīng)該可幫助抵御最新一波攻擊。具體來說，這些指導(dǎo)原則應(yīng)該遵循：

• 不要讓用戶作為管理員或root身份登錄

• 使用安全的默認(rèn)配置

• 保持軟件更新

• 部署以網(wǎng)絡(luò)和電子郵件為中心的工具以檢測惡意宏或附件

• 如果業(yè)務(wù)流程不需要宏功能，則禁用

• 如果企業(yè)需要宏功能，則啟用它，但只是在使用它們的應(yīng)用中

• 如果應(yīng)用允許宏，只使用簽名或批準(zhǔn)的宏來限制宏惡意軟件的風(fēng)險(xiǎn)

需要注意的是，簽名宏并不能阻止所有攻擊，特別是當(dāng)攻擊者使用感染的證書來簽名宏時(shí)，但企業(yè)可采取額外的步驟來阻止非針對(duì)性攻擊。微軟Office支持簽名宏，并可以配置為僅允許簽名宏。

安全意識(shí)總是很重要，企業(yè)還必須審慎評(píng)估他們應(yīng)該在哪里有業(yè)務(wù)流程或者文化來培訓(xùn)員工抵御攻擊。如果安全意識(shí)計(jì)劃指導(dǎo)用戶禁用宏，但宏是關(guān)鍵業(yè)務(wù)流程的組成部分，錯(cuò)誤的選擇可能會(huì)導(dǎo)致終端被泄露。安全意識(shí)計(jì)劃可能幫助用戶決定宏是否合法，不過，鑒于提供宏支持的各種應(yīng)用的數(shù)量，培訓(xùn)將需要足夠通用以涵蓋很多不同的應(yīng)用。

最后，只要應(yīng)用支持與基本操作系統(tǒng)的自動(dòng)交互，宏病毒都將會(huì)是一個(gè)問題。然而，企業(yè)可以通過正確使用相關(guān)策略來減少終端被宏病毒感染的機(jī)會(huì)。