巨集病毒/惡意軟體20年:從「示範」意味的 Concept 病毒到 APT攻擊

巨集病毒/惡意軟體是資安界所面臨的問題中最長久的一個。自從第一個樣本出現在1995年以來,巨集病毒總是能找到方法來讓擺脫它們的努力化成烏有,一次又一次的以某種形式死灰復燃。我們相信它會具備如此韌性的很大一個原因是因為它所攻擊的是世上使用最廣泛也最無處不在的軟體,如Microsoft Office。從它第一次出現到現在已經有20年了,回顧一下過去這些年巨集惡意軟體歷史和將來會如何發展。

  • 1995 – 1999年:早期年代

1995年,第一個巨集惡意軟體「Word-Concept 」首次誕生。它會利用微軟Word的巨集功能,被發現預裝在微軟所發布Windows 95的光碟上。它基本上無害,只會顯示帶有數字「1」和「OK」按鈕的對話框。也在同一年,第一個Excel巨集病毒XM_LAROUX出現。跟Word-Concept 一樣,「示範」作用居多,只會顯示一個帶有模糊訊息和確定按鈕的對話框。

在台灣最著名的例子正是1996 年現身的Taiwan NO.1 Word 巨集病毒。以下我們先分享幾個台灣本土巨集病毒發作的畫面:

 

在世紀末的1999年,最惡名昭彰的巨集惡意軟體之一 梅麗莎(Melissa)出現。當時幾乎所有的信箱都塞滿了這樣標題的信件:「 Important message from < somebody>」(PS. Somebody 是寄件人的名字) ,信件內容為:「 Here is that document you asked for….don’t show anyone else:-)」並有一個內含80個色情網站 Word 附件檔。

一旦打開附件檔,會大量寄出郵件給使用者通訊錄上的前50名郵件地址。許多知名大企業並沒在情勢失控前,找到合宜的解決方案。甚至以關閉 Mail server 來對抗這隻史無前例擴散的病毒,全世界約有20%的電腦被感染,造成超過8,000萬美元的損失。

 

  • 2000 – 2005年:暫時休息

但在梅麗莎(Melissa)之後,巨集惡意軟體就變得沉靜起來。事實上,有許多資安廠商宣稱巨集惡意軟體雖然曾經盛行,但已經正式絕跡了,只有少數零星的偵測出現。有人認為是因為讓巨集惡意軟體存在的技術在那段時間內並沒有太大改變,變得比較容易加以抵禦。

 

  • 2006年:巨集再次出現

2006年預示著巨集惡意軟體的強勢回歸,當年四月的偵測數衝高到19,000次,9月又再次衝到22,000次。雖然在這一年內有出現新的巨集惡意軟體變種,但將暴升的偵測數量及其發生月份兩者關聯起來之後,我們認為這和報稅活動有相當大的關係。因為四月和六月是個人和企業報稅的時間,而九月通常是公司編預算的時候。這些事件都會造成Office套件使用量的增加。

巨集惡意軟體活動在這次飆漲後平靜了下來。活動進入休眠狀態,因為微軟加緊實施新的安全措施。但只平靜了幾年,直到它再次以驚人的方式回歸到威脅環境。

 

  • 2014年:巨集惡意軟體最大化

就在八年後,巨集惡意軟體出現迄今為止最大的復甦。在2014年4月,惡名昭彰的資料竊取軟體ZeuS透過啟用巨集的Microsoft Word文件來進行散播。在同年11月也看到DRIDEX(一個針對網路銀行使用者的資料竊取軟體)採用相同的感染策略。

沒過幾天,後門惡意軟體ROVNIX也跟進,不過加上自己的防禦手段:啟用巨集的文件加上密碼保護來防止資安廠商分析。

 

  • 2015年至今:巨集興起

2015年是巨集惡意軟體真正興風作浪的一年,因為它們不僅被用來散播銀行惡意軟體,同時也被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)中。

VAWTRAK(針對如美國銀行、摩根大通、花旗銀行和匯豐等大型全球銀行的銀行惡意軟體),在2015年2月開闢新方法來透過巨集惡意軟體感染使用者。BARTALEX則在3月加入啟用巨集的行列,使用惡意編碼的Word文件(及Excel文件)來進入系統並下載資料竊取惡意軟體(如UPATRE)。

也正是在這個時候,一個攻擊特定以色列和歐洲機構的團體Team Rocket Kitten被發現利用巨集惡意軟體進行針對性攻擊。更具體地說,他們使用嵌入惡意巨集的Excel檔案。如果巨集程式碼被啟動,就會植入GHOLE惡意軟體到受影響系統上並開始進行惡意行為。

雖然還難以預料巨集惡意軟體的未來發展 – 因為已經達到讓攻擊者將其用在 APT攻擊 的地步 – 我們能夠說的是我們預計會看到它們在未來幾個月內被用在不同的攻擊活動上。Team Rocket Kitten可能是第一個利用巨集惡意軟體的團隊,但絕不會是最後一個。

幸運的是,巨集惡意軟體可以加以防禦。趨勢科技的使用者可以自動地受到保護,會保護企業對抗巨集惡意軟體的攻擊。不過使用者也可以確認開啟微軟的Office巨集安全功能來加強安全性。使用者還應該要注意不要啟用任何來自電子郵件或下載連結來的文件巨集,尤其是當文件本身出現如此要求的時候,這通常是個警告標誌,寫著:「這是巨集惡意軟體」。

 

@參考原文:20 Years of Macro Malware: From Harmless Concept to Targeted Attacks

【延伸閱讀】巨集惡意程式:老技倆依舊有效

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載