阻止恶意代码进行自适应和进化的方法在微软中被禁止使用

逐渐地，暴力破解的手段也在向不依赖于宏代码的方向发展。根据 Proofpoint 的数据，攻击者已经不再直接使用启用宏代码的文档来分发恶意软件。攻击者转向使用其他容器类文件，例如 ISO 文件、RAR 文件与 Windows 快捷方式（LNK）文件。

攻击者虽然已经开始转向使用其他文件类型进行攻击，但使用宏的文档应该仍然会长期存在。

Windows 系统根据 MOTW 属性确定文件是否来自互联网，来阻止 VBA 宏的执行，所以攻击者开始使用容器类文件绕过 MOTW 进行攻击。安全公司 Outflank 详细介绍过红队绕过 MOTW 机制的多种方案，这些技术也可以被攻击者所使用。

攻击者使用容器类文件，如 ISO、RAR、ZIP 与 IMG 文件来发送启用宏代码的文档。下载的 ISO、RAR 等文件会带有 MOTW 标记，但其中的文档文件则不会被标记。当然，提取文档文件后仍然需要启用宏代码才能使恶意代码自动执行，但文件系统不会将其标记为来自网络这个信息聚集的领域。

容器类文件中可能包含其他文件，例如 LNK、DLL 或者 EXE 文件，这些文件执行会导致主机失陷。

XLL 文件是 Excel 的一种动态连接库文件，研究人员最初认为 XLL 文件可能会接棒 XL4 宏代码受到攻击者的青睐。但实际上只是在微软宣布禁用 XL4 宏代码后，XLL 文件的滥用才略有增加，但也明显低于 ISO、RAR 和 LNK 文件。

总体来说，VBA 宏代码也随着时间的推移而减少了。在 3-4 月出现了小幅飙升，又在 5-6 月恢复下降趋势。

攻击者从使用宏代码的文档开始转向使用不同的文件类型进行投递，包括 ISO、LNK 等文件。这些文件类型可以绕过微软的宏拦截策略，有助于进行恶意软件分发。研究人员认为，攻击者以后会越来越多地使用容器类文件进行投递，减少对宏代码附件的依赖。目前，微软已经开始在azure平台上部署一个名为kubernetes的开源框架，用于构建和管理云计算服务。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!