随着MicrosoftOffice中宏的消亡(在新标签页中打开)文件,似乎另一种替代方法越来越受欢迎,新的报道称。
DeepInstinct的网络安全研究人员发现,网络犯罪分子对MicrosoftVisualStudioToolsforOffice(VSTO)的使用呈上升趋势,因为他们构建恶意Office加载项,帮助他们实现持久性并在目标端点上运行恶意代码。
黑客在这里所做的是构建基于.NET的恶意软件(在新标签页中打开),然后将其嵌入到Office加载项中,这种做法需要威胁行为者更加熟练。
Perimeter81的恶意软件保护在交付阶段拦截威胁,以防止已知的恶意软件、多态攻击、零日攻击等。让您的员工自由使用网络,而不会危及数据和网络安全。
这种方法算不上新鲜,但在Office宏占主导地位时并不流行。现在Microsoft有效地消除了该威胁,VSTO构建的威胁越来越多。这些加载项可以与Office文档一起发送,或者托管在其他地方并由攻击者发送的Office文档触发。
换句话说,受害者仍然需要下载并运行Office文件和加载项才能被感染,因此网络钓鱼仍将发挥主要作用。话虽这么说,攻击媒介仍然非常危险,因为它能够成功绕过防病毒程序和其他恶意软件保护服务。事实上,DeepInstinct能够创建一个有效的概念验证(PoC),将Meterpreter有效负载传送到端点。可以在此链接上找到PoC的视频演示(在新标签页中打开).研究人员表示,他们被迫禁用MicrosoftWindowsDefender只是为了记录该过程。
他们表示,Meterpreter是一种用于渗透测试的安全产品,很容易被防病毒产品检测到,但并未检测到PoC的所有元素。
总之,研究人员预计VSTO构建的攻击数量将继续上升。他们还希望民族国家和其他“高素质”行为体也能采用这种做法。