微软关闭Office XL4及VBA宏后,黑客也调整了攻击手法。安全厂商发现,钓鱼诈骗黑客已减少使用包含宏的文件,而改使用ISO、RAR、LNK等类型文件感染用户。
微软分别在去年10月和今年2月宣布关闭XL4及VBA宏(后者延至7月正式实施),安全厂商Proofpoint分析去年10月到今年6月恶意电子邮件包含的文件类型,以了解攻击者的行为变化。
分析显示,这段期间内,附件包含VBA和XL4宏的邮件攻击锐减66%。但使用ISO、RAR等容器档及LNK附件的邮件攻击,增加了将近175%。
图片来源/Proofpoint
微软阻挡VBA宏是根据邮件附件的Mark of the Web(MOTW)属性,但是使用容器文件格式,像是ISO、RAR、ZIP等,以及图片文件(.IMG)文件,则可以绕过MOTW的侦测。ISO、RAR及ZIP档本身有MOTW,但内置的恶意宏文件(如试算表)没有,因而仍可在用户解压缩后,启动宏引发程序执行。此外,容器文件内也可以加入LNK、DLL或EXE档,直接在用户计算机安装恶意程序。
根据Proofpoint的分析,从去年10月以来该公司观测到的15波邮件攻击中,使用ISO文件的情形占了2/3,增加150%,其中在韩国传播的Bumblebee恶意软件,攻击者是在钓鱼邮件中附加ISO文件,其中包含LNK及DLL档,以发票或其他请求诱使用户打开(下图)。
图片来源/Proofpoint
LNK附件相关的攻击特别值得注意,从今年2月开始,至少有10个攻击组织使用包含LNK档的邮件,此类攻击从去年10月以来增长了1,675%。Proofpoint也关注到多起使用LNK档手法的网络犯罪(如金钱诈骗)及国家黑客(APT)攻击。
虽然整体趋势上XL4宏的使用是减少的,但仍在今年3月增加。研究人员怀疑是代号TA542的黑客传播Emotet,不过4月后,黑客改用XLL(Excel Add In)档及压缩LNK档为附件来传播这只恶意程序。
Proofpoint也观察到附件使用改造过的HTML档(又称为“HTML走私”手法)传播恶意程序的情形,在今年上半有些许增加的情形。