新闻链接：http://www.seehand.com/news/334.html
新闻时间：2015-1-17
新闻正文：
在过去的几个月里，先后有不同的网络黑户组织通过包含有特定的恶意macros宏代码的微软办公文档散播恶意软件和木马病毒，使得这一已经消失长达十年之久的恶意攻击技术卷土重来。

宏是包含有在各种各样的应用程序中自启动执行任务命令的脚本程序。微软办公软件，如Word和Excel，均支持在Visual Basic for Applications（VBA）宏语言中写入宏脚本程序，这一技术可以被用于网络恶意攻击行为，被用来安装恶意软件和木马病毒。

为防止宏脚本程序被网络攻击者恶意滥用，自微软2011年发布的XP办公软件开始，用户被要求在执行文件中嵌入的未签名的宏脚本程序时须获得许可，这也是攻击者停止使用宏命令作为其恶意软件传播方式的最初原因。

然而，似乎伴随着社交工程的兴起，这项利用宏命令进行恶意网络攻击活动的技术仍然开始十分有效，一些网络犯罪组织近期又开始开发利用这项技术用于恶意网络攻击活动。

微软公司的恶意软件研究人员在一篇博客文章中表示，微软恶意软件防护中心最近发现越来越多的使用宏脚本程序命令散播恶意代码的安全威胁活动。

有两个这种类型的安全威胁主要是针对在美国和英国的用户发动目标攻击，这些恶意程序的攻击活动在2014年12月中旬被发现，继而被命名为Adnel和Tarbir。这两个恶意程序都是通过植入word和excel类型的文档内的宏脚本程序命令进行网络攻击活动的，恶意程序是通过垃圾邮件以及假扮为收据、要约、电子转账确认函、账单以及装运通知单的形式的邮件感染用户计算机的。

这个微软公司的研究人员表示，一旦这些邮件和文档被打开，这些文档和邮件就为受害者发出一步接一步的指令，指导如何使这些不受信任的未签名宏命令程序启动运行。这些相结合的指令文档、垃圾邮件带有与货币相关的内容，以及一个看似相关的文件名，这些足够使一个不知情的用户信服并点击启动按钮。

另一个通过使用宏命令程序发动网络攻击活动的恶意软件程序被称为Dridex，它的攻击目标是使用网上银行的用户。据安全管理公司Trustwave的研究人员称，在2014年11月Dridex恶意软件被发现时，Dridex相关的垃圾邮件活动平均每天散播15000份带有恶意宏命令的文档。

Trustwave公司的研究人员通过邮件表示，这些文档被伪装成来自软件公司、在线零售商、银行机构以及货运公司的要约，其中一些文档还包含有指令引导受害者如何启动宏命令开始运行。

不仅仅是网络犯罪分子开始重新使用宏命令技术，还有国家资助的网络黑客也同样开始使用这项技术。研究人员Gadi Evron和Tillmann Werner近期发表了他们对一个网络间谍行动的分析报告，这个网络间谍活动在德国汉堡的混沌通信大会上被命名为Rocket Kitten。这次网络间谍活动的攻击者的目标是针对在以色列以及西欧国家的政府以及学术研究组织，使用带有恶意宏命令代码的Excel文档进行钓鱼式邮件攻击。一旦恶意宏命令代码被启动，这个宏命令代码就会安装一个复杂精细的后门程序。

另一个使用带有恶意宏命令代码的Word文档进行攻击的网络间谍活动是CosmicDuke，在2014年9月被发现，这次网络间谍活动至少以一个欧洲的外交部作为攻击目标。F-Secure公司的研究人员在一篇讨论恶意程序CosmicDuke、MiniDuke和OnionDuke之间的联系的博客文章中指出，让你感到“窝心”的是，当你打开电子邮件的附件时，网络攻击者十分“好意”的通过Word文档引导你点击“启用内容”来帮助你启动宏命令。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)