Word、Excel、Powerpoint這些辦公軟件在我們的日常工作和生活中經(jīng)常會用到，可以說是必不可少的。但你是否想過這些辦公軟件是否是安全的呢？是否存在安全隱患呢？事實(shí)上，利用微軟Office文檔的惡意攻擊從未間斷。據(jù)Atlas VPN公布的一項(xiàng)調(diào)查結(jié)果顯示，2021年上半年發(fā)現(xiàn)的惡意代碼中，43%包含在微軟Office文檔文件中。攻擊者通過微軟Office文檔提供的宏等功能執(zhí)行代碼，并與命令和控制服務(wù)器通信，追加下載惡意文件或利用事先預(yù)制的代碼生成程序，進(jìn)行信息泄漏等惡意操作。

　　（圖片來源：韓國安全新聞網(wǎng)站）

　　近期案例

　　最近發(fā)現(xiàn)的微軟MSHTML引擎遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40444）就是通過微軟Office文檔運(yùn)行的。如果攻擊者偽造的微軟Office文檔文件被執(zhí)行，攻擊者將會安裝并運(yùn)行惡意的ActiveX控件進(jìn)行攻擊。自 8 月中旬以來，CVE-2021-40444 已被多個(gè)黑客組織利用。微軟認(rèn)識到這一點(diǎn)后，于 9 月 7 日發(fā)布了安全咨詢和風(fēng)險(xiǎn)緩解措施，并于 9 月 14 日開始發(fā)布漏洞補(bǔ)丁。換句話說，這個(gè)漏洞被一些攻擊者作為零日漏洞利用了大約一個(gè)月。

　　今年7月，一個(gè)偽裝成貿(mào)易交易的Excel文件通過電子郵件進(jìn)行傳播，在執(zhí)行該文件中包含的宏時(shí)，就會感染“Remcos RAT”惡意代碼，導(dǎo)致鍵盤輸入記錄和網(wǎng)頁瀏覽器用戶賬戶信息等被盜。8月份，一份偽裝成貿(mào)易交易的PowerPoint文件在網(wǎng)絡(luò)間流傳。如果在運(yùn)行文件后激活宏，就會將用戶強(qiáng)行連接到一個(gè)惡意網(wǎng)站，并安裝惡意代碼，在訪問該網(wǎng)站后，攻擊者就會執(zhí)行泄露用戶信息等各種惡意行為。

　　什么是無文件惡意軟件？

　　這種惡意利用宏等軟件正常功能的方式被稱為“無文件惡意軟件攻擊（Fileless Malware Attack）”。 究竟什么是無文件惡意軟件？首先需要明確的是，無文件惡意軟件其實(shí)有時(shí)候也是需要使用文件的，只是平常它們都處于隱身狀態(tài)。最初的無文件惡意軟件指的就是那些不使用本地持久化技術(shù)或者完全駐留在內(nèi)存之中的惡意代碼，但后期這個(gè)概念的范圍逐漸擴(kuò)大，演變至今，通常會將那些傳統(tǒng)殺毒軟件無法識別的，依賴于文件系統(tǒng)的某些功能來實(shí)現(xiàn)惡意代碼激活和駐留的惡意軟件也稱作是無文件惡意軟件。

　　就像微軟Office文檔文件中，除了為執(zhí)行惡意行為而配置的宏外，文檔文件本身并沒有問題，而且這些功能是通過微軟的Word、Excel、Powerpoint等正常軟件執(zhí)行的，因此通常情況下不會被殺毒軟件等基于明顯標(biāo)識特征的安全產(chǎn)品所發(fā)現(xiàn)。

　　攻擊者為什么使用無文件惡意軟件？

　　在此之前，我們要明白黑客攻擊的目的是什么。首先是攻擊者需要隱形，盡可能避免被安全產(chǎn)品檢測到；其次，就是利用漏洞進(jìn)行特權(quán)升級，使自己能夠以管理員的身份訪問系統(tǒng)，做任何他們想要的；再次就是信息收集，盡可能收集有關(guān)受害者和受害者計(jì)算機(jī)的數(shù)據(jù)，用于后續(xù)其他攻擊或金錢勒索；最后，就是持久性，即在系統(tǒng)中保持惡意軟件的能力，延長被發(fā)現(xiàn)的時(shí)間。

　　經(jīng)過觀察分析我們發(fā)現(xiàn)，無文件惡意軟件具有三大特點(diǎn)。一是隱性攻擊：無文件惡意軟件一般借助合法工具進(jìn)駐內(nèi)存來保持自己隱身，這就意味著它被安全軟件檢測到的概率大大降低；二是超強(qiáng)的生存能力：在默認(rèn)的情況下，用戶自身會安裝用于無文件惡意軟件的合法工具，攻擊者無需創(chuàng)建或安裝任何自定義工具即可使用它們，避免被發(fā)現(xiàn)的風(fēng)險(xiǎn)；三是受信任和經(jīng)常被使用：這些工具大都是用戶經(jīng)常使用和信任的，出于合法目的，在日常工作和生活中運(yùn)行無文件惡意軟件中使用的工具并不罕見且用戶對這些工具的警惕性不高。上述特點(diǎn)恰恰符合攻擊者的需要，正因如此，無文件惡意軟件成為攻擊者所青睞的攻擊手段。

　　微軟Office軟件開發(fā)人員也知道這些功能正在被惡意利用，并通過基本的安全設(shè)置來阻止宏的自動(dòng)運(yùn)行。 例如，您通過電子郵件等外部途徑下載了微軟Office 文檔。當(dāng)您打開文檔時(shí)，它首先以“受保護(hù)的視圖”狀態(tài)打開。文檔中包含的所有內(nèi)容只能閱讀，不能編輯。此外，即使您在這種情況下點(diǎn)擊超級鏈接等，也只會出現(xiàn)警告信息，無法直接連接到該網(wǎng)站。如果用戶判斷該文件正常，則可以點(diǎn)擊“編輯使用”按鈕來編輯文件。

　　微軟Office文檔中的宏功能被阻止（圖片來源：韓國安全新聞網(wǎng)站）

　　宏也是如此。如果執(zhí)行包含宏的文件時(shí)，會顯示“安全警告”的信息，同時(shí)阻止宏運(yùn)行。宏是一種有用的功能，它可以幫助用戶減少簡單的重復(fù)操作、自動(dòng)插入用戶通常在文檔中輸入的基本內(nèi)容或格式等。但是，網(wǎng)絡(luò)攻擊者通過“Sub Auto_open（）”等宏指令，在用戶運(yùn)行宏時(shí)啟動(dòng)隱藏在文件中的代碼。當(dāng)然，就像前面提到的那樣，默認(rèn)情況下系統(tǒng)會阻止使用宏，并且在用戶直接按下“使用內(nèi)容”按鈕運(yùn)行宏之前，不會發(fā)生惡意行為。

　　無文件惡意軟件是如何工作的？

　　網(wǎng)絡(luò)攻擊者在試圖利用微軟Office軟件進(jìn)行無文件攻擊時(shí)，必須克服的障礙不是殺毒軟件等安全產(chǎn)品，而是Office軟件自身的安全功能。因?yàn)?，即使惡意文檔通過電子郵件被安全地儲存在用戶電腦中，除非運(yùn)行宏，否則攻擊者也無能為力。

　　因此，攻擊者會使用各種巧妙的方法來誘騙用戶運(yùn)行宏。首先，攻擊者將電子郵件正文中的附件偽裝成報(bào)價(jià)單或發(fā)票等看似與業(yè)務(wù)相關(guān)且需要確認(rèn)的信息，或者偽裝成各種活動(dòng)介紹及國際局勢等特定領(lǐng)域從業(yè)人員所關(guān)注的內(nèi)容來誘騙用戶點(diǎn)擊查看。不僅如此，攻擊者還通過將知名門戶網(wǎng)站的賬戶信息交易明細(xì)或政界、演藝圈的八卦新聞等設(shè)定為附件名稱，這樣即使不是相關(guān)領(lǐng)域的從業(yè)人員，用戶也會出于好奇心而點(diǎn)擊查看附件。

　　誘導(dǎo)用戶點(diǎn)擊使用內(nèi)容的畫面（圖片來源：韓國安全新聞網(wǎng)站）

　　當(dāng)用戶打開查看附件文檔時(shí)，由于宏運(yùn)行被阻止，在首頁上會顯示諸如“請點(diǎn)擊‘使用內(nèi)容’按鈕查看詳細(xì)內(nèi)容”或“請點(diǎn)擊‘啟用編輯’和‘使用內(nèi)容’查看安全文檔”之類的虛假信息。如果用戶被這些短語所欺騙，解除了安全功能，就相當(dāng)于自行打開大門，讓攻擊者侵入自己的電腦。

　　該如何防范無文件惡意軟件攻擊？

　　無文件惡意軟件攻擊乍一看似乎是致命的巧妙攻擊，但是只要用戶遵守基本的安全措施，就可以防止大多數(shù)的無文件惡意軟件攻擊。為預(yù)防損失，用戶必須遵守△禁止點(diǎn)擊來源不明的電子郵件中的附件△即使發(fā)件人是受信任的人或組織，也要重新確認(rèn)電子郵件地址△禁止點(diǎn)擊來源不明文檔文件的“使用內(nèi)容”或“包含宏”的按鈕△使用最新版本的殺毒軟件等安全措施。

　　尤其重要的是，及時(shí)更新殺毒軟件，讓用戶電腦的殺毒軟件始終保持最新版本。雖然殺毒軟件無法檢測到新創(chuàng)建的惡意文檔，但安全公司的威脅情報(bào)專家們一直在努力阻止這種無文件惡意軟件攻擊，他們會將新發(fā)現(xiàn)的惡意文檔信息盡快的更新到公司殺毒軟件中去。