微软关闭office xl4及vba宏后,黑客也调整了攻击手法。安全厂商发现,钓鱼诈骗黑客已减少使用包含宏的文件,而改使用iso、rar、lnk等类型文件感染用户。
微软分别在去年10月和今年2月宣布关闭xl4及vba宏(后者延至7月正式实施),安全厂商proofpoint分析去年10月到今年6月恶意电子邮件包含的文件类型,以了解攻击者的行为变化。
分析显示,这段期间内,附件包含vba和xl4宏的邮件攻击锐减66%。但使用iso、rar等容器档及lnk附件的邮件攻击,增加了将近175%。
图片来源/proofpoint
微软阻挡vba宏是根据邮件附件的mark of the web(motw)属性,但是使用容器文件格式,像是iso、rar、zip等,以及图片文件(.img)文件,则可以绕过motw的侦测。iso、rar及zip档本身有motw,但内置的恶意宏文件(如试算表)没有,因而仍可在用户解压缩后,启动宏引发程序执行。此外,容器文件内也可以加入lnk、dll或exe档,直接在用户计算机安装恶意程序。
根据proofpoint的分析,从去年10月以来该公司观测到的15波邮件攻击中,使用iso文件的情形占了2/3,增加150%,其中在韩国传播的bumblebee恶意软件,攻击者是在钓鱼邮件中附加iso文件,其中包含lnk及dll档,以发票或其他请求诱使用户打开(下图)。
图片来源/proofpoint
lnk附件相关的攻击特别值得注意,从今年2月开始,至少有10个攻击组织使用包含lnk档的邮件,此类攻击从去年10月以来增长了1,675%。proofpoint也关注到多起使用lnk档手法的网络犯罪(如金钱诈骗)及国家黑客(apt)攻击。
虽然整体趋势上xl4宏的使用是减少的,但仍在今年3月增加。研究人员怀疑是代号ta542的黑客传播emotet,不过4月后,黑客改用xll(excel add in)档及压缩lnk档为附件来传播这只恶意程序。
proofpoint也观察到附件使用改造过的html档(又称为“html走私”手法)传播恶意程序的情形,在今年上半有些许增加的情形。