自20世纪90年代以来,宏恶意软件一直是黑客的热门选择,甚至在最近几年,这种技术仍然是一种向粗心的人传递恶意软件的简单方法。
就在上个月,乌克兰指责俄罗斯https://www.zdnet.com/article/ukane-reports-cyber-attack-on-government-document-management-system/“>政府间谍将带有恶意宏的文件上传到乌克兰政府文件共享网站。在第一波COVID-19大流行中,微软Flutter 2:Google的开发者工具包向前迈出了一大步
和Office 365多年来一直在打击宏恶意软件,但它成功地清除了用visualbasicforapplications(VBA)编写的宏脚本,最终将攻击者推向了一种更老的宏语言XLM,它是1992年excel4.0附带的。</p><p><strong>请参见:</strong><a href=”https://www.techrepublic.com/resource-library/whitepapers/windows-10-start-menu-hacks/?ftag=CMG-01-10aa1b“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“><strong>Windows 10“开始”菜单黑客攻击</strong></a><strong>(TechRepublic Premium)</strong></p><p>现在Microsoft是https://www.microsoft.com/security/blog/2021/03/03/xlm-amsi-new-runtime-defence-against-excel-4-0-macro-malware/“target=”\u blank“rel=“noopener noreferrer”data component=“externalLink”>扩展其AMSI与Office 365的集成,以包括对Excel 4.0的扫描https://support.microsoft.com/en-us/office/working-with-excel-4-0-macros-ba8924d4-e157-4bb2-8d76-2c07ff02e0b8“target=”\u blank“rel=”noopener noreferrer“data component=“externalLink”>XLM</a>宏在运行时,使AMSI与VBA保持一致。</p><p>AMSI允许应用程序与Windows计算机上的任何防病毒软件集成,使防病毒软件能够检测并阻止Office文档中的一系列恶意脚本。微软注意到它的Defender反恶意软件正在使用这种集成来检测和阻止基于XLM的恶意软件,并鼓励其他反恶意软件提供商也采用它。</p><p>虽然XLM在1993年被VBA取代,但XLM仍被一些客户使用,因此Excel仍然支持它。</p><p>“虽然XLM比VBA更初级,但它的功能强大到足以提供与操作系统的互操作性,许多组织和用户继续将其功能用于合法目的。网络犯罪分子知道这一点,他们越来越频繁地滥用XLM宏来调用Win32 API和运行shell命令,微软的安全团队解释道。</p><p>2018年AMSI的VBA运行时扫描的到来“有效地消除了宏混淆为恶意软件配备的盔甲,使恶意代码暴露在更高的水平上微软说:“当然,像Trickbot、Zloader和Ursnif背后的那些威胁参与者已经在其他地方寻找可以在安全解决方案的雷达下滥用和操作的功能,他们在XLM中找到了一个合适的替代方案,“继续。</p><p><strong>请参阅:</strong><a href=”https://www.zdnet.com/article/cybercrime-groups-are-selling-their-hacking-skills-some-countries-are-buying/“><strong>网络犯罪集团正在出售他们的黑客技能。一些国家正在购买</strong></a></p><p>如果防病毒软件检测到一个恶意的XLM宏,宏将不会执行,Excel将被终止,因此阻止了攻击。</p><p>XLM宏的运行时检查现在可以在Microsoft Excel中使用,并且默认情况下在2月份的当前频道和每月的企业频道上为Microsoft 365订阅用户启用。</p><figure class=“image large shortcode image”><span class=“img aspect set”style=“padding bottom:56%”><imgsrc=“https://www.zdnet.com/a/hub/i/r/2021/03/04/eeb0c4a2-773a-42ad-bb47-ed707c2f2f94/resize/470xauto/fb190e22e9d9fa6964f72dc36e563f28/fig2-amsi-xlm-instrumentation.png“class=”“alt=”图2 amsi xlm-仪器.png“height=”auto“width=”470“></span><figcaption><span class=”caption“><p></p><ahref=“/article/flatter-2-googles-toolkit-for-developers-takes-a-big-step-forward/”data omniture track=“moduleClick”data omniture track data=){kind=link}