長期以來,微軟 Office 文件(尤其是 Excel 文件和 Word 文件)一直是一些網絡犯罪分子的目标。攻擊者借助不同的技術,使用嵌入的 Visual Basic for Applications 宏,用不同類型的惡意軟件感染計算機,進而實施網絡犯罪和網絡間諜活動。
在大多數情況下,用戶在這些應用程序中執行代碼時,仍然需要點擊 " 同意 ",但一些社會工程伎倆誘使毫不知情的受害者點擊并允許執行惡意宏本身。也有可能在沒有任何用戶交互的情況下直接利用漏洞,以啟動惡意軟件。
外面的 .XLL 惡意利用情況
思科 Talos 的一項新研究顯示,威脅分子可能會利用 Excel 文件中的事件處理函數來自動啟動 .XLL 文件。最常見的方法是在 Excel Add-In 管理器調用 xlAutoOpen 或 xlAutoClose 函數時執行惡意代碼。
思科 Talos 研究人員利用 VirusTotal 中的特定查詢來查找惡意的 .XLL 文件,并提供 YARA 規則來查找此類文件。他們将使用常用的微軟 .XLL SDK 構建的原生 .XLL 樣本和使用 ExcelDNA 框架生成的樣本分開來,因為 ExcelDNA 框架是免費的,往往是最常被威脅分子所使用的框架(見下圖)。
圖 2. VirusTotal 中 .XLL 文件的提交數量(圖片來源:思科 Talos)
圖 3. VirusTotal 中 .XLL 文件的提交數量(圖片來源:思科 Talos)
上面兩個圖表顯示,早在微軟開始阻止包含 VBA 宏的文檔之前,威脅分子就一直在利用 .XLL 文件漏洞了。
思科 Talos 的研究人員查明,在 2017 年 7 月之前,沒有提交任何潛在惡意的樣本。在 VirusTotal 平台上發現的第一個 .XLL 攻擊載荷啟動了 calc.exe,這是滲透測試人員和網絡犯罪分子常用的測試方法。同月提交的第二個樣本啟動了 Meterpreter 反向 shell,可能用于滲透測試或惡意用途。
在那次活動之後,.XLL 文件零星出現,但直到 2021 年底,Dridex 和 FormBook 等臭名昭著的惡意軟件家族開始使用,利用 .XLL 文件的活動才有所增加。
哪些威脅分子在利用 .XLL 文件?
一些威脅分子現正在使用 .XLL 文件來感染計算機。
據美國司法部聲稱,APT10(又叫 Red Apollo、menuPass、Stone Panda 或 Potassium)是一夥網絡間諜威脅分子,自 2006 年以來一直在運作。
2017 年 12 月,研究人員發現了一個文件利用 .XLL 注入了 APT10 專有的名為 Anel 的惡意軟件
TA410 是另一夥針對美國公用事業和外交機構下手的威脅分子,與 APT10 有着松散的聯系。他們使用的工具包也包括 2020 年發現的 .XLL 階段。
針對克什米爾非營利組織和巴基斯坦政府官員的 DoNot 團隊似乎也使用了這種方法:一個 .XLL 文件包含兩個導出函數,一個導出函數名為 pdteong,第二個導出函數名為 xlAutoOpen,使其成為功能齊全的 .XLL 攻擊載荷。pdteong 導出函數名稱僅由 DoNot 團隊使用。
FIN7 是一夥來自俄羅斯的網絡犯罪威脅分子。2022 年,這夥威脅分子開始在惡意電子郵件活動中使用 .XLL 文件作為附件來發送。這些文件被執行後,它們充當了下一個感染階段的下載器。
然而,VirusTotal 中 .XLL 檢測出現高峰主要來自 Dridex 惡意軟件活動。這些 .XLL 文件被用作下一個感染階段的下載器,該階段是從通過 Discord 軟件應用程序訪問的大量攻擊載荷中選擇出來的。
第二種最常見的載荷是 FormBook,這是一種在網上可以低價買到的信息竊取服務。它使用電子郵件活動來傳播 .XLL 下載器,從而獲取下一個感染階段,即 FormBook 惡意軟件本身。
最近針對匈牙利的 AgentTesla 和 Lokibot 活動通過電子郵件利用了 .XLL 文件。電子郵件假裝來自匈牙利警察局(見下圖)。
圖 4. AgentTesla 活動中的欺詐郵件内容(圖片來源:思科 Talos)
思科 Talos 将文本翻譯如下:
" 我們是布達佩斯第七區警察局。我們已聽說貴公司的優秀業績。我們中心需要您對我們的 2022 年預算(附上)給一個報價。預算由我們匈牙利政府的内政部共同出資。請于 2022 年 8 月 25 日前提交報價。請查收附件,如果您需要更多信息,請告知我們。"
此外,Ducktail 惡意軟件是一種信息竊取惡意軟件,由越南運營的威脅團夥運行,它也利用了 .XLL。這夥威脅分子使用一個名為 " 項目營銷計劃細節和 Facebook 谷歌廣告結果報告 .xll" 的文件,用 Ducktail 惡意軟件感染目标。
默認的微軟 Office 行為往好的方向轉變
為了通過使用 VBA 宏來幫助對抗感染,微軟決定改變其 Office 産品的默認行為,阻止從互聯網下載的文件中的宏。
Office Add-In 是可以添加到 Office 應用程序中以改進功能或增強應用程序外觀的可執行代碼段。Office Add-In 可能包含 VBA 代碼或在 .NET 字節碼中嵌入已編譯功能的模塊。這可能表現為 COM 服務器,也可能表現為用特定的文件擴展名重命名的動态鍊接庫。
面向微軟 Word 應用程序的 Add-In 需要放在由注冊表值指定的位置,具體取決于 Office 版本。文件擴展名為 . WLL 的文件将被加載到 Word 進程空間中。
對于微軟 Excel,用戶點擊的任何具有 .XLL 擴展名的文件都将自動嘗試運行 Excel 作為 .XLL 文件的打開器。在任何情況下,Excel 軟件都會觸發有關潛在惡意軟件或安全問題的顯示消息,但這對普通用戶無效,他們往往忽視此類警告。
.XLL Add-in 通常使用微軟 Excel .XLL 軟件開發工具包由 C/C++ 編程語言開發,但 Add-In Express 和 Excel-DNA 等一些框架允許使用 C# 或 VB.NET 之類的 .NET 語言。
如何防範 .XLL 安全威脅?
使用 .XLL 文件在企業環境中并不普遍;不需要它的企業應該阻止試圖在其環境中執行 .XLL 文件的任何活動。如果貴公司确實允許使用 .XLL 文件,必須在端點和服務器上進行密切的監視,以便檢測并調查任何可疑活動。
電子郵件網關不應該默認接受 .XLL 文件,并增強企業用戶的意識。如果他們從 Excel 中看到關于運行 Add-In 的警告消息,又不知道為什麼會出現這種情況,就不應該允許執行,并打電話給 IT/ 安全部門。
