2015年基于宏的恶意软件数量再次飙升

简介:
+关注继续查看

今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大有卷土重来之势。

2015年基于宏的恶意软件数量再次飙升

数量大幅回升

在2006年左右,大量的恶意软件都通过Word/Excel宏的方式传播到受害者电脑上,恶意软件的执行都依赖于“自动执行宏”选项,当时通过这种方式传播还比较有效。虽然之后“宏病毒”消失于人们的视野,但在今年,包含恶意软件的宏数量再次上升,并且新的恶意软件更加高级,有些还使用社会工程学手段来诱导用户启用宏。

2015年基于宏的恶意软件数量再次飙升

在今年年初,微软恶意软件防护中心(MMPC)发出警报,提示使用基于宏的木马来传播恶意代码恶意感染活动的激增。微软的研究人员发现基于开启宏的恶意软件迅速增加,其中最活跃的恶意代码包括Adnel和Tarbir。此外,去年TrendLabs实验室的专家们发现,网络攻击者使用Windows PowerShell命令并通过恶意宏下载器传播ROVNIX。今年年初,专家们注意到网络罪犯在Microsoft Word中使用恶意宏传播网银木马VAWTRAK。

勒索软件常用

一个实际的例子就是Dridex银行木马和勒索软件TorrentLocker,两者都是通过宏来传播。通常来说,都是以包含感染宏的恶意邮件开始,这些宏会包括一个XML文件,攻击者会利用该XML文件来诱导用户启用宏。

2015年基于宏的恶意软件数量再次飙升

Trustwave Karl Sigler的研究员解释道:

“XML文件是办公文档doc旧的二进制格式,一旦你双击打开它,与Microsoft Word关联的文件也会打开。”

微软恶意软件防护中心对攻击者所采用的手段做了如下评论:

“瞄向邮件用户并包含恶意代码的宏文档会故意激起受害者的好奇心,通常其主题会包括销售发票、联邦税收单、快递通知、简历及捐款确认等,这通常能够轻易诱导受害者阅读邮件并打开附件,而打开附件时通常会要求启用宏,如果用户在不知情的情况下启用了宏,那么基于宏的恶意软件也会运行。”

当用户上钩之后,恶意软件就开始运行并执行操作:下载有效载荷、安装其他软件、远程连接到服务器并安装更多令人厌烦的软件。

安全建议

为了防范基于宏的恶意软件,用户需要确保默认情况下宏被禁用,并时刻注意你点击和授权的文件。


作者:JackFree

来源:51CTO


相关文章
|
5月前
|
安全 网络安全 Go
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合(二)
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合
192 0
|
5月前
|
消息中间件 安全 关系型数据库
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合(一)
kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本,与黑客斗智斗勇的三个回合
218 0
|
Linux
CPU 漏洞补丁对内核性能影响:4.15 比 4.11 快 7-9%
知名Linux Kernel维护成员Greg Kroah-Hartman今天分享了一些非常有趣的细节–在Linux内核打上Meltdown和Spectre漏洞补丁之后的性能影响。根据Google+博文显示,最近发布的Linux Kernel 4.15的速度要比4.11快7-9%;在激活内核页表隔离(KPTI)情况下速度仅比4.11慢了1-2%。
1828 0
|
安全 API Windows
针对Neutrino僵尸程序新增加的保护层进行分析
本文讲的是针对Neutrino僵尸程序新增加的保护层进行分析,最新版本的多用途Neutrino僵尸程序已经自带保护层并且Neutrino僵尸程序通过以它命名的利用工具包(Exploit Kit)已经开始进行分发,由于Neutrino属于Kasidet家族,而Kasidet家族又具有多种反调试
1419 0
|
存储 安全
英特尔尝试在CPU级别干掉缓冲区溢出
本文讲的是英特尔尝试在CPU级别干掉缓冲区溢出,英特尔正在推广一项很灵活的技术。该技术可以在处理器层面上阻挡恶意软件感染,其相关细节已经在上周四发表。
1379 0
|
安全 Linux Android开发
这个0day有点奇葩 利用它首先要做40亿次系统调用
本文讲的是这个0day有点奇葩 利用它首先要做40亿次系统调用,CVE-2016-0728是个Linux内核漏洞,本地用户可利用这个漏洞提升到root权限。研究人员认为,上千万台Linux个人电脑、服务器,以及66%的安卓手机和平板设备面临威胁。
1258 0
推荐文章
更多