Excel XLL檔 駭客初始入侵的最愛
編譯/鄭智懷
網通大廠思科(Cisco)指出,自從微軟(Microsoft)在2022年7月宣布提供Access、Excel、Powerpoint、Visio、Word 5款程式更新,將其預設為禁止下載巨集(VBA)之後,駭客除了持續對舊版程式發動攻擊,還嘗試將惡意程式植入Excel XLL檔,使受害者在不知情的情況下打開檔案,導致資安破口。
思科表示,由於具.XLL名稱的檔案為Excel默認檔案名,儘管Excel在使用者打開名稱具XLL的檔案時會顯示該檔案包含惡意程式的警告,使用者往往或忽視警告,繼續開起類似檔案而受到駭客入侵。
此外,XLL檔案可以透過電子郵件傳送,即使採用市面上常見的掃毒軟體檢測,電腦使用者也可能在不知情的情況下打開已經植入惡意程式的文件。這使得透過網路釣魚或社交工程展開網路攻擊的駭客廣泛利用該技術發動攻擊活動。
思科的研究發現,駭客為了自動啟動惡意程式,將實施一個或同時調用多個函數,例如 AutoOpen、AutoClose、Document_Open 和 Document_Close for Word 或 Worbook_Open、Workbook_Close、Auto_Open、Auto_Close for Excel,從而交互啟動帶有惡意程式的巨集。
據研究指出,首次採用此技術的駭客集團為具有中國背景的APT10。其他駭客集團如TA410、DoNot Team、FIN7,以及惡意程式Agent Tesla、Arkei、Buer、Dridex、Ducktail、Ekipa RAT、FormBook、IcedID、Vidar Stealer等也曾經有使用該技術的紀錄。
資安公司研究員Wojciech Cieslak認為,類似的技術演進說明了網路攻擊者不斷改進技術以領先防護者。同時,惡意程式的創造者也不斷追蹤資安產業的變化,例如微軟禁止下載巨集,並相應的調整攻擊策略。
資料來源:Cisco、The Hacker News、Cyware
瀏覽 879 次