Word、Excel、Powerpoint這些辦公軟件在我們的日常工作和生活中經常會用到,可以說是必不可少的。但你是否想過這些辦公軟件是否是安全的呢?是否存在安全隱患呢?事實上,利用微軟Office文檔的惡意攻擊從未間斷。據Atlas VPN公布的一項調查結果顯示,2021年上半年發現的惡意代碼中,43%包含在微軟Office文檔文件中。攻擊者通過微軟Office文檔提供的宏等功能執行代碼,并與命令和控制服務器通信,追加下載惡意文件或利用事先預制的代碼生成程序,進行信息泄漏等惡意操作。
(圖片來源:韓國安全新聞網站)
近期案例
最近發現的微軟MSHTML引擎遠程代碼執行漏洞(CVE-2021-40444)就是通過微軟Office文檔運行的。如果攻擊者偽造的微軟Office文檔文件被執行,攻擊者將會安裝并運行惡意的ActiveX控件進行攻擊。自 8 月中旬以來,CVE-2021-40444 已被多個黑客組織利用。微軟認識到這一點后,于 9 月 7 日發布了安全咨詢和風險緩解措施,并于 9 月 14 日開始發布漏洞補丁。換句話說,這個漏洞被一些攻擊者作為零日漏洞利用了大約一個月。
今年7月,一個偽裝成貿易交易的Excel文件通過電子郵件進行傳播,在執行該文件中包含的宏時,就會感染“Remcos RAT”惡意代碼,導致鍵盤輸入記錄和網頁瀏覽器用戶賬戶信息等被盜。8月份,一份偽裝成貿易交易的PowerPoint文件在網絡間流傳。如果在運行文件后激活宏,就會將用戶強行連接到一個惡意網站,并安裝惡意代碼,在訪問該網站后,攻擊者就會執行泄露用戶信息等各種惡意行為。
什么是無文件惡意軟件?
這種惡意利用宏等軟件正常功能的方式被稱為“無文件惡意軟件攻擊(Fileless Malware Attack)”。 究竟什么是無文件惡意軟件?首先需要明確的是,無文件惡意軟件其實有時候也是需要使用文件的,只是平常它們都處于隱身狀態。最初的無文件惡意軟件指的就是那些不使用本地持久化技術或者完全駐留在內存之中的惡意代碼,但后期這個概念的范圍逐漸擴大,演變至今,通常會將那些傳統殺毒軟件無法識別的,依賴于文件系統的某些功能來實現惡意代碼激活和駐留的惡意軟件也稱作是無文件惡意軟件。
就像微軟Office文檔文件中,除了為執行惡意行為而配置的宏外,文檔文件本身并沒有問題,而且這些功能是通過微軟的Word、Excel、Powerpoint等正常軟件執行的,因此通常情況下不會被殺毒軟件等基于明顯標識特征的安全產品所發現。
攻擊者為什么使用無文件惡意軟件?
在此之前,我們要明白黑客攻擊的目的是什么。首先是攻擊者需要隱形,盡可能避免被安全產品檢測到;其次,就是利用漏洞進行特權升級,使自己能夠以管理員的身份訪問系統,做任何他們想要的;再次就是信息收集,盡可能收集有關受害者和受害者計算機的數據,用于后續其他攻擊或金錢勒索;最后,就是持久性,即在系統中保持惡意軟件的能力,延長被發現的時間。
經過觀察分析我們發現,無文件惡意軟件具有三大特點。一是隱性攻擊:無文件惡意軟件一般借助合法工具進駐內存來保持自己隱身,這就意味著它被安全軟件檢測到的概率大大降低;二是超強的生存能力:在默認的情況下,用戶自身會安裝用于無文件惡意軟件的合法工具,攻擊者無需創建或安裝任何自定義工具即可使用它們,避免被發現的風險;三是受信任和經常被使用:這些工具大都是用戶經常使用和信任的,出于合法目的,在日常工作和生活中運行無文件惡意軟件中使用的工具并不罕見且用戶對這些工具的警惕性不高。上述特點恰恰符合攻擊者的需要,正因如此,無文件惡意軟件成為攻擊者所青睞的攻擊手段。
微軟Office軟件開發人員也知道這些功能正在被惡意利用,并通過基本的安全設置來阻止宏的自動運行。 例如,您通過電子郵件等外部途徑下載了微軟Office 文檔。當您打開文檔時,它首先以“受保護的視圖”狀態打開。文檔中包含的所有內容只能閱讀,不能編輯。此外,即使您在這種情況下點擊超級鏈接等,也只會出現警告信息,無法直接連接到該網站。如果用戶判斷該文件正常,則可以點擊“編輯使用”按鈕來編輯文件。
微軟Office文檔中的宏功能被阻止(圖片來源:韓國安全新聞網站)
宏也是如此。如果執行包含宏的文件時,會顯示“安全警告”的信息,同時阻止宏運行。宏是一種有用的功能,它可以幫助用戶減少簡單的重復操作、自動插入用戶通常在文檔中輸入的基本內容或格式等。但是,網絡攻擊者通過“Sub Auto_open()”等宏指令,在用戶運行宏時啟動隱藏在文件中的代碼。當然,就像前面提到的那樣,默認情況下系統會阻止使用宏,并且在用戶直接按下“使用內容”按鈕運行宏之前,不會發生惡意行為。
無文件惡意軟件是如何工作的?
網絡攻擊者在試圖利用微軟Office軟件進行無文件攻擊時,必須克服的障礙不是殺毒軟件等安全產品,而是Office軟件自身的安全功能。因為,即使惡意文檔通過電子郵件被安全地儲存在用戶電腦中,除非運行宏,否則攻擊者也無能為力。
因此,攻擊者會使用各種巧妙的方法來誘騙用戶運行宏。首先,攻擊者將電子郵件正文中的附件偽裝成報價單或發票等看似與業務相關且需要確認的信息,或者偽裝成各種活動介紹及國際局勢等特定領域從業人員所關注的內容來誘騙用戶點擊查看。不僅如此,攻擊者還通過將知名門戶網站的賬戶信息交易明細或政界、演藝圈的八卦新聞等設定為附件名稱,這樣即使不是相關領域的從業人員,用戶也會出于好奇心而點擊查看附件。
誘導用戶點擊使用內容的畫面(圖片來源:韓國安全新聞網站)
當用戶打開查看附件文檔時,由于宏運行被阻止,在首頁上會顯示諸如“請點擊‘使用內容’按鈕查看詳細內容”或“請點擊‘啟用編輯’和‘使用內容’查看安全文檔”之類的虛假信息。如果用戶被這些短語所欺騙,解除了安全功能,就相當于自行打開大門,讓攻擊者侵入自己的電腦。
該如何防范無文件惡意軟件攻擊?
無文件惡意軟件攻擊乍一看似乎是致命的巧妙攻擊,但是只要用戶遵守基本的安全措施,就可以防止大多數的無文件惡意軟件攻擊。為預防損失,用戶必須遵守△禁止點擊來源不明的電子郵件中的附件△即使發件人是受信任的人或組織,也要重新確認電子郵件地址△禁止點擊來源不明文檔文件的“使用內容”或“包含宏”的按鈕△使用最新版本的殺毒軟件等安全措施。
尤其重要的是,及時更新殺毒軟件,讓用戶電腦的殺毒軟件始終保持最新版本。雖然殺毒軟件無法檢測到新創建的惡意文檔,但安全公司的威脅情報專家們一直在努力阻止這種無文件惡意軟件攻擊,他們會將新發現的惡意文檔信息盡快的更新到公司殺毒軟件中去。
