曾经老旧的攻击方式总是会以新的形式卷土重来,让网络罪犯再次将其用于创造利益。
这包括宏恶意软件,即编码在宏程序中的恶意软件,当目标受害者打开文档文件时便会执行。我们看到旧的宏病毒作宏恶意软件再次出现,并结合了过去20年的攻击技术。不过,很多抵御第一代宏恶意软件的相同的措施仍然可行,而且可以整合到现在使用的更安全的系统中。
最新一代宏恶意软件
Proofpoint公司报告称,自2014年年底以来,在文档附件中嵌入宏恶意软件的网络钓鱼攻击显著增加。这些网络钓鱼电子邮件附件包含嵌入的宏病毒,当收件人被引诱到打开目标应用时,宏病毒就会执行。这实际上是一种社会工程攻击,引诱用户打开附件;当打开时,宏就会执行其恶意操作。
从花费的时间和金钱来看,使用宏恶意软件的攻击要比寻找新的零日漏洞并将其用在路过式下载低得多。攻击者肯定会计算攻击取得成功并保持一段时间所需要付出的努力,以及多少网络钓鱼受害者最终会转钱到钓鱼攻击者。
对于攻击者而言,从资源和复杂性来看,宏病毒更加便宜。路过式下载需要找到Web浏览器中的漏洞,而且由于现在Web浏览器的安全性提高,攻击者越来越难以找到漏洞以让恶意代码在主机操作系统运行。另外,保持恶意软件下载器更新以避免检测还需要恶意软件编写者在找到可行的漏洞利用之前资源不会耗尽。而在另一方面,宏病毒可以分阶段执行攻击,从下载恶意软件到运行漏洞利用。
企业如何抵御最新一代宏恶意软件
抵御宏恶意软件的最佳做法应该可帮助抵御最新一波攻击。具体来说,这些指导原则应该遵循:
• 不要让用户作为管理员或root身份登录
• 使用安全的默认配置
• 保持软件更新
• 部署以网络和电子邮件为中心的工具以检测恶意宏或附件
• 如果业务流程不需要宏功能,则禁用
• 如果企业需要宏功能,则启用它,但只是在使用它们的应用中
• 如果应用允许宏,只使用签名或批准的宏来限制宏恶意软件的风险
需要注意的是,签名宏并不能阻止所有攻击,特别是当攻击者使用感染的证书来签名宏时,但企业可采取额外的步骤来阻止非针对性攻击。微软Office支持签名宏,并可以配置为仅允许签名宏。
安全意识总是很重要,企业还必须审慎评估他们应该在哪里有业务流程或者文化来培训员工抵御攻击。如果安全意识计划指导用户禁用宏,但宏是关键业务流程的组成部分,错误的选择可能会导致终端被泄露。安全意识计划可能帮助用户决定宏是否合法,不过,鉴于提供宏支持的各种应用的数量,培训将需要足够通用以涵盖很多不同的应用。
最后,只要应用支持与基本操作系统的自动交互,宏病毒都将会是一个问题。然而,企业可以通过正确使用相关策略来减少终端被宏病毒感染的机会。