恶意宏程序与安全防护转变
关键要点
- 微软于2022年2月 宣布默认阻止来自互联网的 Office 文档中的宏,这一举措对用户安全至关重要。
- 由于新的安全政策,攻击者开始使用压缩文件和磁盘映像文件作为替代,尽管这些格式可能更难检测。
- 攻击者通常会采用复杂的攻击链,这可能为检测和阻止恶意活动提供更多机会。
- 用户使用的归档软件也逐渐开始提供对“网络标记”(MOTW)的支持,以增加安全性。
恶意宏程序一直以来都是威胁行为者的常用策略。因此,微软在2022年2月
的宣布——从互联网来源文件中的宏默认被阻止,令用户倍感欣慰(尽管在2022年7月
经历了短暂的回滚)。自这项政策实施以来,我们看到通过档案和磁盘映像文件发起的攻击不断增多,包括常见的 ZIP 和 RAR 格式,还包括较不常见的格式,如
ARJ、ACE、LZH、VHD 和 XZ。
档案文件可以使检测产品更难检查和标记恶意内容,尤其是那些不太流行的格式。此外,使用档案文件可以让攻击者规避微软为来自互联网的文件插入的“网络标记”(MOTW)。虽然
MOTW 通常会出现在档案文件本身,但在解压缩后,其内容却不一定会继承该标记。
然而,也有积极的一面。威胁行为者在使用档案时往往会采用更复杂的攻击链,为检测和阻止恶意活动提供更多机会。这些文件可能对许多用户来说不太熟悉,这可能导致用户在打开前稍作犹豫(尽管这也有两面性,因为用户可能对相关风险知之甚少)。
网络标记(MOTW)
?redirectedfrom=MSDN)
最初是 Internet Explorer的一项功能,旨在确保本地保存的网页在保存来源的安全区域内运行。这项措施旨在保护用户,通过限制本地网页访问整个文件系统的权限。
具体而言,这意味着一个 HTML 注释会被增加到保存的网页中,例如:
“`html
“`
Internet Explorer 会解析这一注释,根据用户的区域设置决定应用哪个安全策略。微软后来扩展了
MOTW,使其适用于来自互联网的文件,包括浏览器下载和电子邮件附件,并将 MOTW 处理整合到 Windows 各个方面。
以下是可能的 ZoneId 值:
ZoneId | 描述
—|—
0 | 本地计算机
1 | 内部网
2 | 受信任网站
3 | 互联网
4 | 不受信任网站
有趣的是,一些用户报告称,在 Windows 10 中,URL 会保留到 ADS 中。需要注意的是,不同应用程序处理 MOTW的方式各不相同,并且该功能并不是万无一失的;安全研究人员已经发现了一些规避方法,某些应用程序中,文件是否被标记为 MOTW也可能取决于用户的行为,比如右键选择“另存为”与拖放之间的选择。
恶意归档格式
在恶意垃圾邮件中,威胁行为者常常会附加一个需要密码保护的归档文件,并在邮件正文中包含密码。例如如下示例:
有些攻击者可能会在后续邮件中发送密码,或间接提及密码(例如,“密码是当前的年月,格式为
MMYYYY”),以防止电子邮件扫描器解压归档。归档本身则包含恶意载荷——这可能是一个 Office 文档、伪装成 PDF 的可执行文件、ISO文件或其他内容。
此外,电子邮件中可能会包含 ISO 文件或其他磁盘映像文件作为附件:
