恶意软件和攻击倾向于使用微软Office宏作为感染链第一阶段

编辑:kunyi 阅读:21 时间:2018-09-19 15:44:55

         Office宏是攻击者用来传递恶意软件的最佳工具之一,因为在大多数运行微软Office的电脑上默认启用Office宏功能,而在具有更严格安全策略且禁用该功能的组织中,最终用户可以使用鼠标单击。

Office宏已被用于提供从无关紧要的机器人到非常危险的勒索软件有效载荷的任何东西,借助于特制的Visual Basic脚本,可以轻松地在恶意工具中转换Office宏,这些脚本允许被黑电脑从远程服务器下载或运行有效负载。
 

尽管使用宏作为电子邮件附件来感染电脑可能看起来只是低级威胁可能会使用的方式,但是Cofense Intelligence发现它们也被用来提供复杂且非常危险的,例如Geodo,Chanitor,AZORult和GandCrab 。根据Cofense Intelligence的报告,已检测到Office宏从简单的机器人到高度危险的勒索软件有效载荷,这可能会削弱整个企业网络。
 

作为缓解措施,反网络钓鱼解决方案提供商建议在企业环境中禁用宏,方法是将员工可以使用宏接收Office文档的源列入白名单,或者使用能够检测和阻止恶意宏组件的反恶意软件软件。