威胁行为者是否转向档案和磁盘映像,因宏功能的使用减少? 媒体
恶意宏程序与安全防护转变
关键要点
微软于2022年2月 宣布默认阻止来自互联网的 Office 文档中的宏,这一举措对用户安全至关重要。由于新的安全政策,攻击者开始使用压缩文件和磁盘映像文件作为替代,尽管这些格式可能更难检测。攻击者通常会采用复杂的攻击链,这可能为检测和阻止恶意活动提供更多机会。用户使用的归档软件也逐渐开始提供对“网络标记”MOTW的支持,以增加安全性。恶意宏程序一直以来都是威胁行为者的常用策略。因此,微软在2022年2月的宣布从互联网来源文件中的宏默认被阻止,令用户倍感欣慰尽管在2022年7月经历了短暂的回滚。自这项政策实施以来,我们看到通过档案和磁盘映像文件发起的攻击不断增多,包括常见的 ZIP 和 RAR 格式,还包括较不常见的格式,如 ARJ、ACE、LZH、VHD 和 XZ。
档案文件可以使检测产品更难检查和标记恶意内容,尤其是那些不太流行的格式。此外,使用档案文件可以让攻击者规避微软为来自互联网的文件插入的“网络标记”MOTW。虽然 MOTW 通常会出现在档案文件本身,但在解压缩后,其内容却不一定会继承该标记。
然而,也有积极的一面。威胁行为者在使用档案时往往会采用更复杂的攻击链,为检测和阻止恶意活动提供更多机会。这些文件可能对许多用户来说不太熟悉,这可能导致用户在打开前稍作犹豫尽管这也有两面性,因为用户可能对相关风险知之甚少。
网络标记MOTW
MOTW 最初是 Internet Explorer 的一项功能,旨在确保本地保存的网页在保存来源的安全区域内运行。这项措施旨在保护用户,通过限制本地网页访问整个文件系统的权限。
电脑端加速器具体而言,这意味着一个 HTML 注释会被增加到保存的网页中,例如:
html
Internet Explorer 会解析这一注释,根据用户的区域设置决定应用哪个安全策略。微软后来扩展了 MOTW,使其适用于来自互联网的文件,包括浏览器下载和电子邮件附件,并将 MOTW 处理整合到 Windows 各个方面。
以下是可能的 ZoneId 值:
ZoneId描述0本地计算机1内部网2受信任网站3互联网4不受信任网站有趣的是,一些用户报告称,在 Windows 10 中,URL 会保留到 ADS 中。需要注意的是,不同应用程序处理 MOTW 的方式各不相同,并且该功能并不是万无一失的;安全研究人员已经发现了一些规避方法,某些应用程序中,文件是否被标记为 MOTW 也可能取决于用户的行为,比如右键选择“另存为”与拖放之间的选择。
恶意归档格式
在恶意垃圾邮件中,威胁行为者常常会附加一个需要密码保护的归档文件,并在邮件正文中包含密码。例如如下示例:
有些攻击者可能会在后续邮件中发送密码,或间接提及密码例如,“密码是当前的年月,格式为 MMYYYY”,以防止电子邮件扫描器解压归档。归档本身则包含恶意载荷这可能是一个 Office 文档、伪装成 PDF 的可执行文件、ISO 文件或其他内容。
此外,电子邮件中可能会包含 ISO 文件或其他磁盘映像文件作为附件:
