宏恶意软件卷土重来 企业如何抵挡?

曾经老旧的攻击方式总是会以新的形式卷土重来，让网络罪犯再次将其用于创造利益。

这包括宏恶意软件，即编码在宏程序中的恶意软件，当目标受害者打开文档文件时便会执行。我们看到旧的宏病毒作宏恶意软件再次出现，并结合了过去20年的攻击技术。不过，很多抵御第一代宏恶意软件的相同的措施仍然可行，而且可以整合到现在使用的更安全的系统中。

最新一代宏恶意软件

Proofpoint公司报告称，自2014年年底以来，在文档附件中嵌入宏恶意软件的网络钓鱼攻击显著增加。这些网络钓鱼电子邮件附件包含嵌入的宏病毒，当收件人被引诱到打开目标应用时，宏病毒就会执行。这实际上是一种社会工程攻击，引诱用户打开附件;当打开时，宏就会执行其恶意操作。

从花费的时间和金钱来看，使用宏恶意软件的攻击要比寻找新的零日漏洞并将其用在路过式下载低得多。攻击者肯定会计算攻击取得成功并保持一段时间所需要付出的努力，以及多少网络钓鱼受害者最终会转钱到钓鱼攻击者。

对于攻击者而言，从资源和复杂性来看，宏病毒更加便宜。路过式下载需要找到Web浏览器中的漏洞，而且由于现在Web浏览器的安全性提高，攻击者越来越难以找到漏洞以让恶意代码在主机操作系统运行。另外，保持恶意软件下载器更新以避免检测还需要恶意软件编写者在找到可行的漏洞利用之前资源不会耗尽。而在另一方面，宏病毒可以分阶段执行攻击，从下载恶意软件到运行漏洞利用。

企业如何抵御最新一代宏恶意软件

抵御宏恶意软件的最佳做法应该可帮助抵御最新一波攻击。具体来说，这些指导原则应该遵循：

· 不要让用户作为管理员或root身份登录

· 使用安全的默认配置

· 保持软件更新

· 部署以网络和电子邮件为中心的工具以检测恶意宏或附件

· 如果业务流程不需要宏功能，则禁用

· 如果企业需要宏功能，则启用它，但只是在使用它们的应用中

· 如果应用允许宏，只使用签名或批准的宏来限制宏恶意软件的风险