Excel 4.0 宏：老功能，新攻击技术

26，2021 由 Vinh Lam，高级技术项目经理

分享此贴

Excel 4.0 宏，又称 XLM 4.0 宏，是 Microsoft Excel 的一项良性记录和回放功能，早在 1992 年就已推出。这段程序代码是 Excel 中重复性任务自动化的解决方案，但不幸的是，它也是恶意软件传播的隐蔽后门。

与它的前身 Visual Basic for Application (VBA) 宏一样，Excel 4.0 宏也越来越多地被用来存储隐藏的恶意软件。由于威胁者可以混淆 XML 代码来隐藏可疑的宏，因此他们可以轻松地利用这一已有 30 年历史的功能来创建新的攻击技术。

Excel 4.0 宏是 Excel 核心功能中必不可少的公式组件，它之所以成为如此普遍的攻击载体，原因就在于此。它们在各种业务流程中经常使用，而且不太可能被禁用或淘汰。正因为如此，恶意软件作者通常会通过宏代码将恶意有效载荷潜入 Excel 文档，并以电子邮件附件的形式发送，就像他们在第一起宏 4.0 事件中所做的那样。

首次攻击 Excel 4.0 宏

自 2020 年 2 月中旬出现第一波宏 4.0 攻击^[1]以来，大量网络犯罪分子已经采用了这种技术。它涉及一个受感染的工作表，在公式中隐藏着恶意命令，作为 Excel 文件附件的一部分发送。

攻击者使用社交工程策略诱使目标打开文件。打开文件后，受害者会被要求点击 "启用编辑 "按钮，从而启用恶意宏。

名为 "使用 Excel 4.0 宏的网络攻击 "的条形图。X 轴包含日期。Y 轴包含攻击次数。二月、三月和四月的攻击次数激增。

在第一次攻击之后，威胁行为者继续利用这种规避技术制造更多攻击，并在 2020 年 5 月至 7 月期间出现高峰^[2]。

"非常隐蔽 "的宏

使用混淆策略可以在 Excel 文件中偷偷插入和隐藏宏。

例如，将工作表设置为 "非常隐藏"，这意味着该工作表无法通过 Excel UI 访问，并且在没有外部工具的帮助下无法显示。隐藏在 Excel 工作表中的宏可以通过网络查询触发，也可以在执行公式时下载恶意软件。威胁者利用这一漏洞，通过文件上传或电子邮件附件发送恶意有效载荷，并利用系统漏洞创建新的攻击载体。

攻击者利用这种策略和基于恐惧的社交工程伎俩来获取远程访问权，并在被入侵的设备上运行命令。早在 2020 年 5 月，这种技术就被滥用，以至于微软不得不向公众发出 COVID-19 钓鱼活动的警告^[3]。攻击者冒充约翰-霍普金斯中心发送主题为 "WHO COVID-19 SITUATION REPORT "的电子邮件。

所附的 Excel 文件包含一个隐藏的恶意宏，可下载并运行 NetSupport Manager RAT--一种允许远程访问的管理工具。

防范恶意文件上传

迁移到 VBA

由于意识到这些漏洞，微软一直鼓励用户改用Visual Basic for Applications（VBA）^[4]。与 VBA 搭配使用的反恶意软件扫描接口（AMSI）可对 VBA 中的宏行为进行深入检查，使系统能够在运行时扫描可疑宏和其他恶意活动。

将 AMSI 与 Microsoft Office 整合

微软还实现了 AMSI 与 Office 365 的集成，包括 Excel 4.0 宏的运行时扫描，以帮助检测和阻止基于 XLM 的恶意软件。

清除宏有效载荷和所有恶意软件Deep CDR

我们的威胁防御技术假定所有文件都是恶意文件，然后对每个文件进行消毒和重建，确保文件在到达用户手中时具有完全可用性和安全内容。进一步了解如何 Deep CDR如何防止Excel 文件中的规避技术和VBA 踩踏 maldoc 技术。

此外，OPSWAT 允许用户集成多种专有技术，提供额外的恶意软件保护层。其中一个例子是Multiscanning ，它允许用户同时使用 30 多种反恶意软件引擎（利用人工智能/移动处理、签名、启发式等）进行扫描，从而实现接近 100% 的检测率。相比之下，单个反病毒引擎平均只能检测到 40%-80% 的病毒。

了解更多 Deep CDR, Multiscanning和其他技术；或与OPSWAT 专家交谈，了解最佳安全解决方案，以防范零日攻击和其他来自高级逃避型恶意软件的威胁。

参考资料

¹James Haughom, Stefano Ortolani."Excel4.0宏武器化的演变"。Lastline.2020年6月2日，https://www.lastline.com/labsb....
²Baibhav Singh."Evolution of Excel 4.0 Macro Weaponization - Part 2." VMware.VMware.2020 年 10 月 14 日。^{https://blogs.vmware.com/netwo....}
3 Phil Muncaster。"微软警告 "大规模 "#COVID19 RAT"。Infosecurity Magazine。May 21, 2020,https://www.infosecurity-magaz....
4 "XLM + AMSI: New runtime defense against Excel 4.0 macro malware".微软。2021 年 3 月 3 日。XLM + AMSI：针对 Excel 4.0 宏恶意软件的新运行时防御 | 微软安全博客。

通过OPSWAT 了解最新信息！

立即注册，即可收到公司的最新动态、故事、活动信息等。