微軟禁用宏后攻擊者的適應(yīng)與進(jìn)化

作者：Avenger 2022-08-11 08:07:22

研究人員發(fā)現(xiàn)啟用宏代碼的惡意附件在 2021 年 10 月至 2022 年 6 月間，大幅度下降了 66%。

微軟在 2021 年 10 月宣布將要禁用 XL4 宏，在 2022 年 2 月宣布將要禁用 VBA 宏，在 2022 年 7 月開始逐步實(shí)施。

攻擊者的攻擊手段也開始逐步擺脫對宏代碼的依賴，根據(jù) Proofpoint 的數(shù)據(jù)，攻擊者已經(jīng)不再直接使用啟用宏代碼的文檔來分發(fā)惡意軟件。攻擊者轉(zhuǎn)向使用其他容器類文件，例如 ISO 文件、RAR 文件與 Windows 快捷方式（LNK）文件。

研究人員發(fā)現(xiàn)啟用宏代碼的惡意附件在 2021 年 10 月至 2022 年 6 月間，大幅度下降了 66%。

image.png-203.6kB

Emotet 使用的 Excel 附件

攻擊者雖然已經(jīng)開始轉(zhuǎn)向使用其他文件類型進(jìn)行攻擊，但使用宏的文檔應(yīng)該仍然會長期存在。

繞過網(wǎng)絡(luò)標(biāo)記

Windows 系統(tǒng)根據(jù) MOTW 屬性確定文件是否來自互聯(lián)網(wǎng)，來阻止 VBA 宏的執(zhí)行，所以攻擊者開始使用容器類文件繞過 MOTW 進(jìn)行攻擊。安全公司 Outflank 詳細(xì)介紹過紅隊(duì)繞過 MOTW 機(jī)制的多種方案，這些技術(shù)也可以被攻擊者所使用。

攻擊者使用容器類文件，如 ISO、RAR、ZIP 與 IMG 文件來發(fā)送啟用宏代碼的文檔。下載的 ISO、RAR 等文件會帶有 MOTW 標(biāo)記，但其中的文檔文件則不會被標(biāo)記。當(dāng)然，提取文檔文件后仍然需要啟用宏代碼才能使惡意代碼自動執(zhí)行，但文件系統(tǒng)不會將其標(biāo)記為來自網(wǎng)絡(luò)。

image.png-65.6kB

使用 ISO 文件分發(fā) Bumblebee 惡意軟件

容器類文件中可能包含其他文件，例如 LNK、DLL 或者 EXE 文件，這些文件執(zhí)行會導(dǎo)致主機(jī)失陷。

XLL 文件是 Excel 的一種動態(tài)鏈接庫文件，研究人員最初認(rèn)為 XLL 文件可能會接棒 XL4 宏代碼受到攻擊者的青睞。但實(shí)際上只是在微軟宣布禁用 XL4 宏代碼后，XLL 文件的濫用才略有增加，但也明顯低于 ISO、RAR 和 LNK 文件。

攻擊統(tǒng)計(jì)

通過電子郵件傳播的啟用宏的惡意文檔附件顯著減少，從 2021 年 10 月到 2022 年 6 月，數(shù)量下降了三分之二以上。同一時(shí)間段，各類容器文件以及 LNK 文件的攻擊增加了近 175%。

image.png-76.4kB

數(shù)量變化趨勢對比

攻擊者開始大量使用 ISO 與 LNK 文件，例如 Bumblebee。在 2021 年 10 月至 2022 年 6 月期間，使用 ISO 文件的攻擊增長了 150% 以上。使用該方法的 15 個(gè)攻擊組織中，超過一半都是在 2022 年 1 月以后新增的該攻擊方式。

LNK 文件則更為顯著，自 2022 年 2 月以來，至少有 10 個(gè)攻擊組織開始使用 LNK 文件。自 2021 年 10 月以來，使用 LNK 文件進(jìn)行攻擊的數(shù)量增長了 1675%。自從十月以來，Proofpoint 跟蹤的多個(gè) APT 組織也更加頻繁地使用 LNK 文件。

image.png-66.9kB

LNK 攻擊趨勢

部分大型攻擊組織的活動對數(shù)據(jù)會產(chǎn)生扭曲。例如，攻擊者使用 XL4 宏代碼的數(shù)量呈現(xiàn)下降趨勢，但在 2022 年 3 月出現(xiàn)了激增。這主要是由于 TA542 分發(fā) Emotet 活動增強(qiáng)導(dǎo)致的。通常，TA542 會使用包含 VBA 或者 XL4 宏代碼的 Excel/Word 文件。隨著 4 月份 Emotet 活動的減弱與其他攻擊方式的采用，再度呈現(xiàn)下滑趨勢。

image.png-69.8kB