Проверка макросов XLM во время выполнения теперь доступна в Microsoft Excel

  • Категория: Microsoft
  • Дата: 4-03-2021, 20:45
  • Просмотров: 1 502


Excel 4.0 (XLM) — это старый язык макросов, который Microsoft выпустила для Excel еще в 1992 году. Хотя это устаревший язык, и большинство организаций с тех пор перешли на Visual Basic for Applications (VBA), некоторые продолжают использовать XLM из-за его функциональных возможностей и совместимости с ОС. Microsoft заметила, что из-за его постоянного использования злоумышленники стали чаще злоупотреблять макросами XLM, поэтому теперь компания разрешает проверку кода XLM во время выполнения в Microsoft Excel.

Microsoft Antimalware Scan Interface (AMSI) уже был интегрирован с VBA еще в 2018 году и оказался очень успешным в выявлении и остановке атак вредоносных программ, зависящих от конкретной технологии. Естественно, злоумышленники недавно переключили внимание на относительно менее безопасные технологии, такие как XLM, для вызова Win32 API и выполнения команд оболочки для своих действий. Таким образом, Microsoft теперь позволяет проверять код XLM во время выполнения в приложениях Office 365, таких как Excel.

Несколько инструментов и антивирусных решений могут использовать AMSI для запроса сканирования данных для обнаружения потенциальных угроз. Технический гигант активно использует его с Microsoft Defender for Endpoint для обнаружения угроз в различных приложениях, таких как макросы Office VBA, JScript, VBScript, PowerShell, WMI, динамически загружаемые сборки .NET и MSHTA/Jscript9.

Microsoft отметила важность этой новой интеграции с XLM, заявив, что:

Подобно VBA и многим другим языкам сценариев, которыми злоупотребляют вредоносные программы, код XLM можно относительно легко запутать, чтобы скрыть истинное назначение макроса. Например, злоумышленники могут скрыть URL-адреса или имена исполняемых файлов от статической проверки с помощью простых манипуляций со строками. Злоумышленники также используют способ сохранения кода макроса в документе Excel — в то время как макросы VBA хранятся в выделенном потоке OLE (и, следовательно, могут быть легко обнаружены и извлечены), макросы XLM не существуют как отдельная, четко определенная сущность. Скорее, каждый оператор макроса XLM представляет собой формулу в ячейке. Извлечение макроса XLM целиком может стать обременительной задачей, требующей проверки всего документа по ячейкам.

Кроме того, в то время как формулы обычно выполняются сверху вниз, с XLM содержимое макроса может быть достаточно разнесено, благодаря операторам управления потоком, таким как RUN, CALL или GOTO, которые позволяют переключать поток выполнения из одного столбца в другой. Эта функция, наряду с обфускацией, была использована злоумышленниками для создания документов, которые могли бы избежать статического анализа.


Было названо несколько вредоносных групп, которые используют макросы XLM в качестве поверхности атаки для своей деятельности, включая Trickbot, Zloader и Ursnif.

Проверка XLM во время выполнения в Microsoft Excel теперь доступна в AMSI, что означает, что она может быть выполнена любым антивирусным решением, зарегистрированным в качестве поставщика AMSI для машины. В конфигурациях по умолчанию файлы, которые находятся в надежных местах или являются надежными документами, не будут сканироваться во время выполнения. То же самое относится и к файлам, которые открываются, когда параметры безопасности настроены на включение всех макросов. Эта функция включена по умолчанию в February Current Channel и Monthly Enterprise Channel для пользователей подписки Microsoft 365.
Илья Источник:
neowin.net
  • +3




  • Комментарии
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Пользователи онлайн
Всего на сайте: 19
Пользователей: 0
Гостей: 19
Роботы: Mail Ru
+0  
Новостей: 6411
+0  
Комментариев: 1519
+1  
Пользователей: 5016
Опрос Все опросы

Нравится ли вам название Windows 11?


Youtube Подписывайся!