Word、Excel、Powerpoint這些辦公軟件在我們的日常工作和生活中經(jīng)常會(huì)用到，可以說是必不可少的。但你是否想過這些辦公軟件是否是安全的呢？是否存在安全隱患呢？事實(shí)上，利用微軟Office文檔的惡意攻擊從未間斷。據(jù)Atlas VPN公布的一項(xiàng)調(diào)查結(jié)果顯示，2021年上半年發(fā)現(xiàn)的惡意代碼中，43%包含在微軟Office文檔文件中。攻擊者通過微軟Office文檔提供的宏等功能執(zhí)行代碼，并與命令和控制服務(wù)器通信，追加下載惡意文件或利用事先預(yù)制的代碼生成程序，進(jìn)行信息泄漏等惡意操作。

　?。▓D片來源：韓國(guó)安全新聞網(wǎng)站）

　　近期案例

　　最近發(fā)現(xiàn)的微軟MSHTML引擎遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40444）就是通過微軟Office文檔運(yùn)行的。如果攻擊者偽造的微軟Office文檔文件被執(zhí)行，攻擊者將會(huì)安裝并運(yùn)行惡意的ActiveX控件進(jìn)行攻擊。自 8 月中旬以來，CVE-2021-40444 已被多個(gè)黑客組織利用。微軟認(rèn)識(shí)到這一點(diǎn)后，于 9 月 7 日發(fā)布了安全咨詢和風(fēng)險(xiǎn)緩解措施，并于 9 月 14 日開始發(fā)布漏洞補(bǔ)丁。換句話說，這個(gè)漏洞被一些攻擊者作為零日漏洞利用了大約一個(gè)月。

　　今年7月，一個(gè)偽裝成貿(mào)易交易的Excel文件通過電子郵件進(jìn)行傳播，在執(zhí)行該文件中包含的宏時(shí)，就會(huì)感染“Remcos RAT”惡意代碼，導(dǎo)致鍵盤輸入記錄和網(wǎng)頁(yè)瀏覽器用戶賬戶信息等被盜。8月份，一份偽裝成貿(mào)易交易的PowerPoint文件在網(wǎng)絡(luò)間流傳。如果在運(yùn)行文件后激活宏，就會(huì)將用戶強(qiáng)行連接到一個(gè)惡意網(wǎng)站，并安裝惡意代碼，在訪問該網(wǎng)站后，攻擊者就會(huì)執(zhí)行泄露用戶信息等各種惡意行為。

　　什么是無文件惡意軟件？

　　這種惡意利用宏等軟件正常功能的方式被稱為“無文件惡意軟件攻擊（Fileless Malware Attack）”。 究竟什么是無文件惡意軟件？首先需要明確的是，無文件惡意軟件其實(shí)有時(shí)候也是需要使用文件的，只是平常它們都處于隱身狀態(tài)。最初的無文件惡意軟件指的就是那些不使用本地持久化技術(shù)或者完全駐留在內(nèi)存之中的惡意代碼，但后期這個(gè)概念的范圍逐漸擴(kuò)大，演變至今，通常會(huì)將那些傳統(tǒng)殺毒軟件無法識(shí)別的，依賴于文件系統(tǒng)的某些功能來實(shí)現(xiàn)惡意代碼激活和駐留的惡意軟件也稱作是無文件惡意軟件。

　　就像微軟Office文檔文件中，除了為執(zhí)行惡意行為而配置的宏外，文檔文件本身并沒有問題，而且這些功能是通過微軟的Word、Excel、Powerpoint等正常軟件執(zhí)行的，因此通常情況下不會(huì)被殺毒軟件等基于明顯標(biāo)識(shí)特征的安全產(chǎn)品所發(fā)現(xiàn)。

　　攻擊者為什么使用無文件惡意軟件？

　　在此之前，我們要明白黑客攻擊的目的是什么。首先是攻擊者需要隱形，盡可能避免被安全產(chǎn)品檢測(cè)到；其次，就是利用漏洞進(jìn)行特權(quán)升級(jí)，使自己能夠以管理員的身份訪問系統(tǒng)，做任何他們想要的；再次就是信息收集，盡可能收集有關(guān)受害者和受害者計(jì)算機(jī)的數(shù)據(jù)，用于后續(xù)其他攻擊或金錢勒索；最后，就是持久性，即在系統(tǒng)中保持惡意軟件的能力，延長(zhǎng)被發(fā)現(xiàn)的時(shí)間。

　　經(jīng)過觀察分析我們發(fā)現(xiàn)，無文件惡意軟件具有三大特點(diǎn)。一是隱性攻擊：無文件惡意軟件一般借助合法工具進(jìn)駐內(nèi)存來保持自己隱身，這就意味著它被安全軟件檢測(cè)到的概率大大降低；二是超強(qiáng)的生存能力：在默認(rèn)的情況下，用戶自身會(huì)安裝用于無文件惡意軟件的合法工具，攻擊者無需創(chuàng)建或安裝任何自定義工具即可使用它們，避免被發(fā)現(xiàn)的風(fēng)險(xiǎn)；三是受信任和經(jīng)常被使用：這些工具大都是用戶經(jīng)常使用和信任的，出于合法目的，在日常工作和生活中運(yùn)行無文件惡意軟件中使用的工具并不罕見且用戶對(duì)這些工具的警惕性不高。上述特點(diǎn)恰恰符合攻擊者的需要，正因如此，無文件惡意軟件成為攻擊者所青睞的攻擊手段。

　　微軟Office軟件開發(fā)人員也知道這些功能正在被惡意利用，并通過基本的安全設(shè)置來阻止宏的自動(dòng)運(yùn)行。 例如，您通過電子郵件等外部途徑下載了微軟Office 文檔。當(dāng)您打開文檔時(shí)，它首先以“受保護(hù)的視圖”狀態(tài)打開。文檔中包含的所有內(nèi)容只能閱讀，不能編輯。此外，即使您在這種情況下點(diǎn)擊超級(jí)鏈接等，也只會(huì)出現(xiàn)警告信息，無法直接連接到該網(wǎng)站。如果用戶判斷該文件正常，則可以點(diǎn)擊“編輯使用”按鈕來編輯文件。

　　微軟Office文檔中的宏功能被阻止（圖片來源：韓國(guó)安全新聞網(wǎng)站）

　　宏也是如此。如果執(zhí)行包含宏的文件時(shí)，會(huì)顯示“安全警告”的信息，同時(shí)阻止宏運(yùn)行。宏是一種有用的功能，它可以幫助用戶減少簡(jiǎn)單的重復(fù)操作、自動(dòng)插入用戶通常在文檔中輸入的基本內(nèi)容或格式等。但是，網(wǎng)絡(luò)攻擊者通過“Sub Auto_open（）”等宏指令，在用戶運(yùn)行宏時(shí)啟動(dòng)隱藏在文件中的代碼。當(dāng)然，就像前面提到的那樣，默認(rèn)情況下系統(tǒng)會(huì)阻止使用宏，并且在用戶直接按下“使用內(nèi)容”按鈕運(yùn)行宏之前，不會(huì)發(fā)生惡意行為。

　　無文件惡意軟件是如何工作的？

　　網(wǎng)絡(luò)攻擊者在試圖利用微軟Office軟件進(jìn)行無文件攻擊時(shí)，必須克服的障礙不是殺毒軟件等安全產(chǎn)品，而是Office軟件自身的安全功能。因?yàn)?，即使惡意文檔通過電子郵件被安全地儲(chǔ)存在用戶電腦中，除非運(yùn)行宏，否則攻擊者也無能為力。

　　因此，攻擊者會(huì)使用各種巧妙的方法來誘騙用戶運(yùn)行宏。首先，攻擊者將電子郵件正文中的附件偽裝成報(bào)價(jià)單或發(fā)票等看似與業(yè)務(wù)相關(guān)且需要確認(rèn)的信息，或者偽裝成各種活動(dòng)介紹及國(guó)際局勢(shì)等特定領(lǐng)域從業(yè)人員所關(guān)注的內(nèi)容來誘騙用戶點(diǎn)擊查看。不僅如此，攻擊者還通過將知名門戶網(wǎng)站的賬戶信息交易明細(xì)或政界、演藝圈的八卦新聞等設(shè)定為附件名稱，這樣即使不是相關(guān)領(lǐng)域的從業(yè)人員，用戶也會(huì)出于好奇心而點(diǎn)擊查看附件。

　　誘導(dǎo)用戶點(diǎn)擊使用內(nèi)容的畫面（圖片來源：韓國(guó)安全新聞網(wǎng)站）

　　當(dāng)用戶打開查看附件文檔時(shí)，由于宏運(yùn)行被阻止，在首頁(yè)上會(huì)顯示諸如“請(qǐng)點(diǎn)擊‘使用內(nèi)容’按鈕查看詳細(xì)內(nèi)容”或“請(qǐng)點(diǎn)擊‘啟用編輯’和‘使用內(nèi)容’查看安全文檔”之類的虛假信息。如果用戶被這些短語(yǔ)所欺騙，解除了安全功能，就相當(dāng)于自行打開大門，讓攻擊者侵入自己的電腦。

　　該如何防范無文件惡意軟件攻擊？

　　無文件惡意軟件攻擊乍一看似乎是致命的巧妙攻擊，但是只要用戶遵守基本的安全措施，就可以防止大多數(shù)的無文件惡意軟件攻擊。為預(yù)防損失，用戶必須遵守△禁止點(diǎn)擊來源不明的電子郵件中的附件△即使發(fā)件人是受信任的人或組織，也要重新確認(rèn)電子郵件地址△禁止點(diǎn)擊來源不明文檔文件的“使用內(nèi)容”或“包含宏”的按鈕△使用最新版本的殺毒軟件等安全措施。

　　尤其重要的是，及時(shí)更新殺毒軟件，讓用戶電腦的殺毒軟件始終保持最新版本。雖然殺毒軟件無法檢測(cè)到新創(chuàng)建的惡意文檔，但安全公司的威脅情報(bào)專家們一直在努力阻止這種無文件惡意軟件攻擊，他們會(huì)將新發(fā)現(xiàn)的惡意文檔信息盡快的更新到公司殺毒軟件中去。