2015年,基于宏的恶意软件数量再次飙升

今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大有卷土重来之势。

数量大幅回升

在2006年左右,大量的恶意软件都通过Word/Excel宏的方式传播到受害者电脑上,恶意软件的执行都依赖于“自动执行宏”选项,当时通过这种方式传播还比较有效。虽然之后“宏病毒”消失于人们的视野,但在今年,包含恶意软件的宏数量再次上升,并且新的恶意软件更加高级,有些还使用社会工程学手段来诱导用户启用宏。

在今年年初,微软恶意软件防护中心(MMPC)发出警报,提示使用基于宏的木马来传播恶意代码恶意感染活动的激增。微软的研究人员发现基于开启宏的恶意软件迅速增加,其中最活跃的恶意代码包括Adnel和Tarbir。此外,去年TrendLabs实验室的专家们发现,网络攻击者使用Windows PowerShell命令并通过恶意宏下载器传播ROVNIX。今年年初,专家们注意到网络罪犯在Microsoft Word中使用恶意宏传播网银木马VAWTRAK。

勒索软件常用

一个实际的例子就是Dridex银行木马和勒索软件TorrentLocker,两者都是通过宏来传播。通常来说,都是以包含感染宏的恶意邮件开始,这些宏会包括一个XML文件,攻击者会利用该XML文件来诱导用户启用宏。

Trustwave Karl Sigler的研究员解释道:

“XML文件是办公文档doc旧的二进制格式,一旦你双击打开它,与Microsoft Word关联的文件也会打开。”

微软恶意软件防护中心对攻击者所采用的手段做了如下评论:

“瞄向邮件用户并包含恶意代码的宏文档会故意激起受害者的好奇心,通常其主题会包括销售发票、联邦税收单、快递通知、简历及捐款确认等,这通常能够轻易诱导受害者阅读邮件并打开附件,而打开附件时通常会要求启用宏,如果用户在不知情的情况下启用了宏,那么基于宏的恶意软件也会运行。”

当用户上钩之后,恶意软件就开始运行并执行操作:下载有效载荷、安装其他软件、远程连接到服务器并安装更多令人厌烦的软件。

安全建议

为了防范基于宏的恶意软件,用户需要确保默认情况下宏被禁用,并时刻注意你点击和授权的文件。

* 参考来源securityaffairs,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-05-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

MongoDB数据库意外暴露超过200万墨西哥公民的医疗健康数据

最近,一个MongoDB数据库被发现可以通过互联网公开访问,其中包含了超过200万(2,373,764)墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、...

7220
来自专栏云端架构

【云端架构】网站运维之基础攻击防护

本周二 腾讯云微信公众号 放出 当月8号晚19点13分至50分 某游戏行业用户37分钟内遭7轮DDOS流量攻击,据不完全统计当月10号二十四小时内陆续出现两起 ...

1.4K200
来自专栏安恒信息

干货分享 | 几种典型勒索病毒事件应对与处置案例

自5月12日“永恒之蓝”勒索病毒大面积扩散以来,安恒信息为保障客户资产安全,对所有客户第一时间提供安全预警;同时加班加点生产200多台明御APT攻击(网络战)预...

38160
来自专栏FreeBuf

这五款工具被全球黑客广泛使用,中国菜刀入榜

近期,由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成的五眼联盟(Five Eyes)发布了一份报告,该报告针对全球发生的网络安全事件进行研究之后发现有五款...

18320
来自专栏企鹅号快讯

开源Web服务器GoAhead远程代码执行漏洞 影响数十万物联网设备

导语:近日,据外媒报道称,来自网络安全公司Elttam的研究人员在GoAhead Web 服务器中发现了一个安全漏洞,将对数十万的物联网设备造成严重影响,因为利...

31470
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–通过直接资本化进行资产购置(163)-2投资订单

4 流程步骤 4.1 KO04创建投资订单 这个步骤创建了一个资本投资订单以用来管控资产采购。 角色:资产会计 会计核算 -控制 -内部订单 -主数据 -...

40270
来自专栏安恒信息

新型恶意勒索软件VirLock

近日,研究人员发现勒索软件家族又添新成员,一个可自我复制的版本VirLock(又称VirRansom)。 VirLock的攻击范围很大,多种类型的文件都受到影响...

30440
来自专栏Debian社区

开源图数据库 Dgraph 完成 300 万融资

据 Dgraph Labs 创始人 Manish Rai Jain 在其宣布 1.0.0 版本正式发布 的 文章 中透漏,他们已完成了由贝恩资本投资公司的 Sa...

16960
来自专栏FreeBuf

一款玩俄罗斯轮盘的勒索程序:TeslaWare

据Emsisoft的安全研究员xXToffeeXx介绍,一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们,他已经获...

30640
来自专栏运维技术迷

将域名从Godaddy转Namesilo

Godaddy,国人称之为狗大爹,世界最大的域名注册商,中国好多个人站长的域名均在此注册。可如今,高昂的费用已经让多少的个人站长和米农伤心欲绝。曾经的曾经已经过...

646130

扫码关注云+社区

领取腾讯云代金券