在分析惡意軟體在2018年8月期間使用的傳遞機制時,Cofense Intelligence發現45%的惡意軟體有效負載通過微軟Office巨集傳送。惡意軟體和攻擊傾向於使用微軟Office巨集作為感染鏈的第一階段,並且在大約45%的安全事件中作為傳遞惡意程式的主要方式。
Office巨集是攻擊者用來傳遞惡意軟體的最佳工具之一,因為在大多數執行微軟Office的電腦上預設啟用Office巨集功能,而在具有更嚴格安全策略且禁用該功能的組織中,終端使用者可以使用滑鼠單擊。
Office巨集已被用於提供從無關緊要的機器人到非常危險的勒索軟體有效載荷的任何東西,藉助於特製的Visual Basic指令碼,可以輕鬆地在惡意工具中轉換Office巨集,這些指令碼允許被黑電腦從遠端伺服器下載或執行有效負載。
儘管使用巨集作為電子郵件附件來感染電腦可能看起來只是低階威脅可能會使用的方式,但是Cofense Intelligence發現它們也被用來提供複雜且非常危險的,例如Geodo,Chanitor,AZORult和GandCrab 。根據Cofense Intelligence的報告,已檢測到Office巨集從簡單的機器人到高度危險的勒索軟體有效載荷,這可能會削弱整個企業網路。
作為緩解措施,反網路釣魚解決方案提供商建議在企業環境中禁用巨集,方法是將員工可以使用巨集接收Office文件的源列入白名單,或者使用能夠檢測和阻止惡意巨集元件的反惡意軟體軟體。
來源:cnBeta.COM
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
看雪閱讀推薦:
1、[原創]微軟輕量級系統監控工具sysmon原理與實現完全分析(上篇)
2、[原創]【很有時間系列】講講怎麼列舉MmMapViewInSystemSpace分配的記憶體
3、[原創]死磕python位元組碼-手工還原python原始碼
4、[原創]Windows(x86)頁表與虛擬空間之我見
5、[原創] 《軟體除錯》分頁機制windbg例子分析(各種填坑)