Microsoft 正在努力通过包括自动阻止从 Internet 下载的所有Excel XLL文件来为 Microsoft 365 客户添加 XLL 加载项保护。
这将有助于解决在过去几年中越来越多地滥用这种感染载体的恶意软件活动。
微软表示,这项新功能将于 3 月份在全球上线,面向当前、每月企业和半年企业频道的桌面用户。
Excel XLL文件是动态链接库 (DLL),用于通过提供自定义函数、对话框和工具栏等附加功能来扩展 Microsoft Excel 的功能。
攻击者在网络钓鱼活动中使用 XLL 加载项以下载链接或附件的形式推送各种恶意负载,这些负载伪装成来自受信任实体(例如业务合作伙伴)的文档,或者伪装成虚假广告请求、节日礼物指南和网站促销。
一旦目标双击未签名的 XLL 文件将其打开,他们将被警告“潜在的安全内容”、“加载项可能包含病毒或其他安全隐患”,并提示他们启用加载项当前会话。
如果加载项被激活(许多人会忽略 Office 警报而不会再看一眼),它还会在后台在受害者的设备上部署恶意软件。
由于 XLL 文件是可执行文件,攻击者可以使用它们在您的计算机上运行恶意代码,因此只有在您 100% 确定它来自可信来源时才可以打开一个。
此外,此类文件通常不会作为电子邮件附件发送,而是由 Windows 管理员安装。因此,如果您收到推送此类文件的电子邮件或任何其他消息,请删除该消息并将其报告为垃圾邮件。
Excel XLL 警告 (BleepingComputer)
正如 Cisco Talos 在 1 月份的一份报告中所说,XLL 现在被众多APT组织(APT10 、 FIN7、Donot、TA410)及谋求经济利益的专业黑客组织用作感染媒介,将第一阶段有效载荷传送到目标设备上。
Cisco Talos 说:“即使 XLL 插件存在了一段时间,我们也无法检测到恶意行为者对它们的使用,直到 2017 年年中一些 APT 组织开始使用它们来实施功能齐全的后门。”
一年前,惠普的威胁分析师团队报告说,作为其 2021 年第四季度威胁洞察报告的一部分,“使用 Excel 加载项 (.XLL) 的攻击者激增了近六倍”。
XLL 攻击时间表 (Cisco Talos)
这是阻止攻击者使用恶意 Office 文档在目标计算机上交付和安装恶意软件的更广泛努力的一部分。
微软表示,自 2022 年 7 月起,Office VBA 宏将在下载的 Office 文档中被自动阻止,这使得在多个 Office 应用程序(Access、Excel、PowerPoint、Visio 和 Word)中从 Internet 下载的文档中启用它变得更加困难。
2021 年 3 月,该公司通过将 Office 365 与反恶意软件扫描接口 (AMSI) 集成提供的运行时防御扩展到包括 Excel 4.0 (XLM) 宏扫描,从而在 M365 中添加了 XLM 宏保护。
2021 年 1 月在 Microsoft 365 中打开时,微软开始默认禁用 Excel 4.0 (XLM) 宏。
多年前,在 2018 年,Microsoft 还将对 AMSI 的支持扩展到 Office 365 应用程序,以保护客户免受使用 VBA 宏的攻击。