微軟在 2021 年 10 月宣布將要禁用 XL4 宏，在 2022 年 2 月宣布將要禁用 VBA 宏，在 2022 年 7 月開始逐步實施。

攻擊者的攻擊手段也開始逐步擺脫對宏代碼的依賴，根據 Proofpoint 的數據，攻擊者已經不再直接使用啟用宏代碼的文檔來分發(fā)惡意軟件。攻擊者轉向使用其他容器類文件，例如 ISO 文件、RAR 文件與 Windows 快捷方式（LNK）文件。

研究人員發(fā)現啟用宏代碼的惡意附件在 2021 年 10 月至 2022 年 6 月間，大幅度下降了 66%。

Emotet 使用的 Excel 附件

攻擊者雖然已經開始轉向使用其他文件類型進行攻擊，但使用宏的文檔應該仍然會長期存在。

繞過網絡標記

Windows 系統(tǒng)根據 MOTW 屬性確定文件是否來自互聯(lián)網，來阻止 VBA 宏的執(zhí)行，所以攻擊者開始使用容器類文件繞過 MOTW 進行攻擊。安全公司 Outflank 詳細介紹過紅隊繞過 MOTW 機制的多種方案，這些技術也可以被攻擊者所使用。

攻擊者使用容器類文件，如 ISO、RAR、ZIP 與 IMG 文件來發(fā)送啟用宏代碼的文檔。下載的 ISO、RAR 等文件會帶有 MOTW 標記，但其中的文檔文件則不會被標記。當然，提取文檔文件后仍然需要啟用宏代碼才能使惡意代碼自動執(zhí)行，但文件系統(tǒng)不會將其標記為來自網絡。

使用 ISO 文件分發(fā) Bumblebee 惡意軟件

容器類文件中可能包含其他文件，例如 LNK、DLL 或者 EXE 文件，這些文件執(zhí)行會導致主機失陷。

XLL 文件是 Excel 的一種動態(tài)鏈接庫文件，研究人員最初認為 XLL 文件可能會接棒 XL4 宏代碼受到攻擊者的青睞。但實際上只是在微軟宣布禁用 XL4 宏代碼后，XLL 文件的濫用才略有增加，但也明顯低于 ISO、RAR 和 LNK 文件。

攻擊統(tǒng)計

通過電子郵件傳播的啟用宏的惡意文檔附件顯著減少，從 2021 年 10 月到 2022 年 6 月，數量下降了三分之二以上。同一時間段，各類容器文件以及 LNK 文件的攻擊增加了近 175%。

數量變化趨勢對比

攻擊者開始大量使用 ISO 與 LNK 文件，例如 Bumblebee。在 2021 年 10 月至 2022 年 6 月期間，使用 ISO 文件的攻擊增長了 150% 以上。使用該方法的 15 個攻擊組織中，超過一半都是在 2022 年 1 月以后新增的該攻擊方式。

LNK 文件則更為顯著，自 2022 年 2 月以來，至少有 10 個攻擊組織開始使用 LNK 文件。自 2021 年 10 月以來，使用 LNK 文件進行攻擊的數量增長了 1675%。自從十月以來，Proofpoint 跟蹤的多個 APT 組織也更加頻繁地使用 LNK 文件。

LNK 攻擊趨勢

部分大型攻擊組織的活動對數據會產生扭曲。例如，攻擊者使用 XL4 宏代碼的數量呈現下降趨勢，但在 2022 年 3 月出現了激增。這主要是由于 TA542 分發(fā) Emotet 活動增強導致的。通常，TA542 會使用包含 VBA 或者 XL4 宏代碼的 Excel/Word 文件。隨著 4 月份 Emotet 活動的減弱與其他攻擊方式的采用，再度呈現下滑趨勢。

XL4 宏攻擊趨勢

總體來說，VBA 宏代碼也隨著時間的推移而減少了。在 3-4 月出現了小幅飆升，又在 5-6 月恢復下降趨勢。

VBA 宏攻擊趨勢

Proofpoint 還觀察到，使用 HTML 附件投遞惡意軟件的攻擊者略有增加。從 2021 年 10 月到 2022 年 6 月，使用 HTML 的攻擊增加了一倍多，但整體數量仍然偏低。另外，研究人員還觀察到攻擊者越來越多得采用 HTML 走私技術。

結論

攻擊者從使用宏代碼的文檔開始轉向使用不同的文件類型進行投遞，包括 ISO、LNK 等文件。這些文件類型可以繞過微軟的宏攔截策略，有助于進行惡意軟件分發(fā)。研究人員認為，攻擊者以后會越來越多地使用容器類文件進行投遞，減少對宏代碼附件的依賴。