曾經(jīng)老舊的攻擊方式總是會以新的形式卷土重來，讓網(wǎng)絡(luò)罪犯再次將其用于創(chuàng)造利益。

這包括宏惡意軟件，即編碼在宏程序中的惡意軟件，當目標受害者打開文檔文件時便會執(zhí)行。我們看到舊的宏病毒作宏惡意軟件再次出現(xiàn)，并結(jié)合了過去20年的攻擊技術(shù)。不過，很多抵御第一代宏惡意軟件的相同的措施仍然可行，而且可以整合到現(xiàn)在使用的更安全的系統(tǒng)中。

[[149748]]

最新一代宏惡意軟件

Proofpoint公司報告稱，自2014年年底以來，在文檔附件中嵌入宏惡意軟件的網(wǎng)絡(luò)釣魚攻擊顯著增加。這些網(wǎng)絡(luò)釣魚電子郵件附件包含嵌入的宏病毒，當收件人被引誘到打開目標應(yīng)用時，宏病毒就會執(zhí)行。這實際上是一種社會工程攻擊，引誘用戶打開附件;當打開時，宏就會執(zhí)行其惡意操作。

從花費的時間和金錢來看，使用宏惡意軟件的攻擊要比尋找新的零日漏洞并將其用在路過式下載低得多。攻擊者肯定會計算攻擊取得成功并保持一段時間所需要付出的努力，以及多少網(wǎng)絡(luò)釣魚受害者最終會轉(zhuǎn)錢到釣魚攻擊者。

對于攻擊者而言，從資源和復(fù)雜性來看，宏病毒更加便宜。路過式下載需要找到Web瀏覽器中的漏洞，而且由于現(xiàn)在Web瀏覽器的安全性提高，攻擊者越來越難以找到漏洞以讓惡意代碼在主機操作系統(tǒng)運行。另外，保持惡意軟件下載器更新以避免檢測還需要惡意軟件編寫者在找到可行的漏洞利用之前資源不會耗盡。而在另一方面，宏病毒可以分階段執(zhí)行攻擊，從下載惡意軟件到運行漏洞利用。

企業(yè)如何抵御最新一代宏惡意軟件

抵御宏惡意軟件的最佳做法應(yīng)該可幫助抵御最新一波攻擊。具體來說，這些指導(dǎo)原則應(yīng)該遵循：

• 不要讓用戶作為管理員或root身份登錄

• 使用安全的默認配置

• 保持軟件更新

• 部署以網(wǎng)絡(luò)和電子郵件為中心的工具以檢測惡意宏或附件

• 如果業(yè)務(wù)流程不需要宏功能，則禁用

• 如果企業(yè)需要宏功能，則啟用它，但只是在使用它們的應(yīng)用中

• 如果應(yīng)用允許宏，只使用簽名或批準的宏來限制宏惡意軟件的風(fēng)險

需要注意的是，簽名宏并不能阻止所有攻擊，特別是當攻擊者使用感染的證書來簽名宏時，但企業(yè)可采取額外的步驟來阻止非針對性攻擊。微軟Office支持簽名宏，并可以配置為僅允許簽名宏。

安全意識總是很重要，企業(yè)還必須審慎評估他們應(yīng)該在哪里有業(yè)務(wù)流程或者文化來培訓(xùn)員工抵御攻擊。如果安全意識計劃指導(dǎo)用戶禁用宏，但宏是關(guān)鍵業(yè)務(wù)流程的組成部分，錯誤的選擇可能會導(dǎo)致終端被泄露。安全意識計劃可能幫助用戶決定宏是否合法，不過，鑒于提供宏支持的各種應(yīng)用的數(shù)量，培訓(xùn)將需要足夠通用以涵蓋很多不同的應(yīng)用。

最后，只要應(yīng)用支持與基本操作系統(tǒng)的自動交互，宏病毒都將會是一個問題。然而，企業(yè)可以通過正確使用相關(guān)策略來減少終端被宏病毒感染的機會。