XLM 4.0マクロとしても知られるExcel 4.0マクロは、1992年に導入されたMicrosoft Excelの良心的な記録再生機能である。このプログラミング・コードの断片は、エクセルでの反復作業を自動化するためのソリューションだが、残念なことに、マルウェア配信のための秘密のバックドアでもある。
その前身であるVBA(Visual Basic for Application)マクロと同様に、Excel 4.0マクロは、隠れたマルウェアを保存するために悪用されることが増えています。脅威者は、XMLコードを難読化して疑わしいマクロを隠すことができるため、この30年前の機能を簡単に武器にして新しい攻撃手法を生み出すことができます。
このような攻撃ベクトルが蔓延しているのは、Excel 4.0のマクロがExcelのコア機能に不可欠な数式コンポーネントだからだ。マクロは様々なビジネス・プロセスで定期的に使用されており、無効になったり非推奨になったりする可能性は低い。このため、マルウェア作成者は、マクロコードを介して悪意のあるペイロードをExcel文書に忍び込ませ、最初のマクロ4.0インシデントで行ったように、電子メールの添付ファイルとして配信することがよくあります。
最初のExcel 4.0マクロ攻撃
2020年2月中旬にマクロ4.0攻撃の第一波が発生して以来[1]、多くのサイバー犯罪者がこの手法を利用している。マクロ4.0攻撃は、Excelファイルの添付ファイルの一部として送信される、数式に悪意のあるコマンドが隠された感染したシートを使用します。
攻撃者はソーシャル・エンジニアリングの手口を使い、標的をおびき寄せ、ファイルを開かせる。ファイルを開くと、被害者は「編集を有効にする」ボタンをクリックするよう要求され、悪意のあるマクロが有効になります。
最初の攻撃の後、脅威者はこの回避テクニックを活用してさらなる攻撃を仕掛け続け、2020年5月から7月にかけて急増した[2]。
「非常に隠れた」マクロ
マクロは、難読化戦略を使ってExcelファイルにこっそりと挿入し、隠すことができる。
例えば、あるシートが "Very Hidden "に設定されている場合、このシートはExcelのUIからは容易にアクセスできず、外部ツールの助けを借りない限り表に出ることはできない。Excelシートに隠されたマクロは、Webクエリを介してトリガーされたり、数式実行時にマルウェアをダウンロードしたりすることができます。脅威者はこの抜け穴を利用し、ファイルアップロードや電子メールの添付ファイルを介して悪意のあるペイロードを配信したり、システムの脆弱性を悪用して新たな攻撃ベクトルを作り出します。
この手口は、恐怖に基づくソーシャル・エンジニアリングと組み合わされ、攻撃者によってリモート・アクセスを獲得し、侵害されたデバイス上でコマンドを実行するために活用された。2020年5月、この手口は悪用され、マイクロソフトはCOVID-19フィッシング・キャンペーン[3]の警告を出さざるを得なかった。攻撃者は「WHO COVID-19 SITUATION REPORT」という件名で、ジョン・ホプキンス・センターになりすまして電子メールを送信した。
添付されたExcelファイルには、NetSupport Manager RAT(リモートアクセスを可能にする管理ツール)をダウンロードして実行する悪意のあるマクロが隠されています。
悪意のあるファイルアップロードからの保護
VBAへの移行
このようなエクスプロイトを認識しているマイクロソフトは、Visual Basic for Applications (VBA)[4]への移行をユーザに推奨しています。VBAと組み合わせたAntimalware Scan Interface (AMSI)は、VBAにおけるマクロの動作を深く精査し、疑わしいマクロやその他の悪意のある動作を実行時にスキャンすることを可能にします。
AMSIとMicrosoft Officeの統合
マイクロソフトはまた、AMSIとOffice 365の統合を可能にし、Excel 4.0マクロのランタイムスキャンを含めることで、XLMベースのマルウェアの検出とブロックを支援する。
マクロのペイロードとすべてのマルウェアを削除するDeep CDR
当社の脅威防御テクノロジーは、すべてのファイルが悪意のあるものであると仮定した上で、各ファイルをサニタイズおよび再構築し、ユーザーに届くまでに安全なコンテンツによる完全なユーザビリティを保証します。詳細はこちら Deep CDRExcelファイル内の回避テクニックや VBAを踏みつけるmaldocテクニックを防止します。
さらに、OPSWAT では、マルウェアからの保護をさらに強化するために、複数の独自技術を統合することができる。その一例として、Multiscanning 、30以上のマルウェア対策エンジン(AI/ML、シグネチャ、ヒューリスティックなどを利用)で同時にスキャンを行い、100%に近い検出率を達成することができます。平均してウイルスの40%~80%しか検出できない単一のAVエンジンと比較してください。
詳細はこちら Deep CDR, Multiscanningまた、 OPSWAT のエキスパートにご相談いただければ、ゼロデイ攻撃や高度な回避マルウェアによるその他の脅威から保護するための最適なセキュリティソリューションをご紹介します。
参考文献
1James Haughom, Stefano Ortolani."Evolution of Excel 4.0 Macro Weaponization".Lastline.June 2, 2020,https://www.lastline.com/labsb....
2Baibhav Singh."Evolution of Excel 4.0 Macro Weaponization - Part 2".VMware.2020年10月14日、https://blogs.vmware.com/netwo...
3 Phil Muncaster."Microsoft Warns of "Massive" #COVID19 RAT.".Infosecurity Magazine.2020年5月21日、https://www.infosecurity-magaz...
4 "XLM + AMSI: Excel 4.0 マクロマルウェアに対する新しいランタイム防御".マイクロソフト。2021年3月3日。XLM + AMSI: Excel 4.0 マクロマルウェアに対する新しいランタイム防御策|Microsoft Security Blog.
