微软宣布2021年10月禁用XL4宏,2022年2月宣布禁用VBA宏,2022年7月逐步实施。攻击者的攻击方式也开始向逐渐摆脱对宏代码的依赖。根据Proofpoint的数据,攻击者不再直接使用启用宏代码的文档来分发恶意软件。攻击者正在转向其他容器类型的文件,例如ISO文件、RAR文件和Windows快捷方式(LNK)文件。研究人员发现,启用宏代码的恶意附件在2021年10月至2022年6月期间下降了66%。Emotet使用的Excel附件攻击者已经转向其他文件类型,但使用宏的文档应该还会存在很长时间。绕过网络标记Windows系统根据MOTW属性判断文件是否来自互联网来阻止VBA宏的执行,于是攻击者开始利用容器类文件绕过MOTW进行攻击。安全公司Outflank详细介绍了红队绕过MOTW机制的各种方案,这些技术也可以被攻击者利用。攻击者使用ISO、RAR、ZIP和IMG文件等容器类型文件来发送启用宏代码的文档。下载的ISO、RAR等文件会带有MOTW标记,但里面的文档文件不会。当然,为了让恶意代码自动执行,提取文档文件后还需要启用宏代码,但文件系统不会将其标记为来自网络。ISO文件用于分发类似Bumblebee恶意软件容器的文件,这些文件可能包含其他文件,例如LNK、DLL或EXE文件,执行这些文件会导致主机崩溃。XLL文件是Excel的一种动态链接库文件,研究人员最初认为XLL文件可能会受到攻击者的青睐,用于接管XL4宏代码。但实际上,只是在微软宣布禁止XL4宏代码之后,XLL文件的滥用率才略有上升,但也明显低于ISO、RAR、LNK文件。攻击统计显示,通过电子邮件发送的启用宏的恶意文档附件显着减少,从2021年10月到2022年6月下降了三分之二以上。同期,针对各种类型的容器文件和LNK文件的攻击增加了近175%。体积趋势对比攻击者开始大量使用ISO和LNK文件,例如Bumblebee。使用ISO文件的攻击在2021年10月至2022年6月期间增长了150%以上。在使用这种方法的15个攻击组中,超过一半是在2022年1月之后增加的。LNK文件更为突出,至少有10个攻击组已经开始自2022年2月以来使用LNK文件。自2021年10月以来,使用LNK文件的攻击增长了1675%。自10月以来,Proofpoint跟踪的几个APT组织也更频繁地使用LNK文件。LNK攻击趋势一些大型攻击组织的活动会扭曲数据。例如,攻击者对XL4宏代码的使用呈下降趋势,但在2022年3月出现激增。这主要是由于TA542在分发Emotet方面的活动增强。通常,TA542与包含VBA或XL4宏代码的Excel/Word文件一起使用。随着Emotet活动减弱和其他攻击媒介的采用,下降趋势在4月份恢复。XL4宏攻击趋势总的来说,VBA宏代码也随着时间的推移而减少。在5月至6月恢复下降趋势之前,3月至4月出现小幅上涨。VBA宏攻击趋势Proofpoint还观察到使用HTML附件传递恶意软件的攻击者略有增加。从2021年10月到2022年6月,使用HTML的攻击增加了一倍多,但总体数量仍然很低。此外,研究人员观察到攻击者越来越多地使用HTML走私技术。结论攻击者已经从使用宏代码的文档转移到使用不同文件类型(包括ISO、LNK等)进行交付。这些文件类型可以绕过Microsoft的宏阻止策略并帮助分发恶意软件。研究人员认为,未来攻击者将越来越多地使用容器类型的文件进行传递,从而减少对宏代码附件的依赖。
