你只需要一項技術就能解決替代VBA的新興資安威脅: Visual Studio Tools for Office (VSTO)

語言: CN / TW / HK

Microsoft Office 文件中的 VBA(Visual Basic for Applications)巨集長期以來一直被攻擊者利用,以進入目標系統並部署惡意軟體和勒索軟體。如果允許自動運行,一旦使用者打開 MS 文件,攻擊者便能利用巨集來執行惡意程式碼。即使 Microsoft Office 已預設封鎖網路 VBA 巨集,讓用户無法再透過單一點擊的方式執行網路巨集文件 ,但攻擊者也開始利用社交工程手法,誘騙用户開啟巨集導致感染。

為了幫助對抗基於巨集攻擊的惡意軟體,從 2022 年 7 月 27 日起,Microsoft 在五個 Office 應用程式中將預設在從網路下載檔案時封鎖不受信任的巨集 。

這一限制被譽為網路安全行業遊戲規則改變的分水嶺。但是,它真的能為 MS 用户提供安全嗎?答案是不。網路犯罪分子仍然會尋找創新的方法來破解和滲透您的系統。

VSTO 攻擊方式

攻擊者用來替代 VBA 的新興攻擊媒介是 Visual Studio Tools for Office (VSTO),它可以導出嵌入在 Office 文檔中的加載項。VSTO Office 文件使攻擊者能夠通過安裝加載項來釣魚用户並遠程執行惡意程式碼。

當VSTO Office 文件連結到使用 .NET 編寫的 Visual Studio Office File 應用程式時,它能夠包含有惡意目的的任意程式碼,就像 VBA 一樣。VSTO Office 文件可以包含參照及metadata,以便用户在打開文件後直接從 Internet 下載 VSTO 文件(.NET 應用程式)。

下面這個影片將示範VSTO Word 文件如何在受害者的設備上下載和執行有害應用程式。

OPSWAT Deep CDR(內容解除和重組)技術即可以化解此類網路攻擊

考慮到每個文件都存在潛在威脅,Deep CDR 會檢測並消除文件中嵌入的「所有」可疑可執行組件,以確保進入您組織的所有文件均無害。這是防止進階規避惡意軟體和零日攻擊的最有效方法。

下面的影片將帶您瞭解 OPSWAT MetaDefender 如何 使用 Deep CDR 來停用惡意 VSTO Word 文件。