Microsoft plans to kill malware delivery via Excel XLL add-ins
2023/01/23 BleepingComputer — Microsoft が取り組んでいるのは、インターネットからダウンロードされた XLL アドインを、自動的にブロックする機能を追加することで、Microsoft 365 における XLL アドインを保護することである。それにより、この感染経路を悪用するマルウェア増加の傾向に、対処することが可能となる。Microsoft は、「この数カ月で増加しているマルウェア攻撃に対抗するため、インターネットからダウンロードされる XLL アドインを、ブロックするための対策を実施している」と述べている。同社によると、この新機能は 2023年3月から、Current/Monthly Enterprise/Semi-Annual Enterprise チャネルの、デスクトップ・ユーザーを対象に一般提供される予定だという。
Excel XLL ファイルとは、カスタム関数/ダイアログボックス/ツールバーなどの追加機能を提供し、Microsoft Excel の機能を拡張するために使用される DLL のことである。
XLL アドインをフィッシング・キャンペーンに悪用する攻撃者は、さまざまな悪質ペイロードを送り付ける。それらは、ビジネス・パートナーなどの信頼できるエンティティからの文書や偽の広告依頼、および、クリスマスギフト、Web サイトのプロモーションなどに偽装された、ダウンロード・リンクや添付ファイルの形態をとる。
署名されていないXLLファイルを、ターゲットがダブルクリックして開くと、「アドインにはウイルスなどのセキュリティ上の危険性が含まれている可能性がある」という警告が表示され、また、現在のセッションでアドインを有効にするよう促される。
アドインが有効化されると (多くの Office ユーザーは警告を無視する傾向にある) 、被害者のデバイスにマルウェアのペイロードが、バックグラウンドで展開されることにつながる。
XLL ファイルは実行可能ファイルであり、それを利用する攻撃者は、被害者のコンピュータ上で悪意のコードを実行できる。そのため、信頼できるソースから送信されたと、100% 確信できる場合でなければ開いてはならない。
また、このようなファイルは、電子メールの添付ファイルとして送信されるのではなく、Windows の管理者によりインストールされるのが一般である。したがって、このようなファイルを送りつける電子メールやメッセージを受け取った場合には、そのメッセージを削除し、スパムとして報告するようにすべきだ。
2023年1月の Cisco Talos レポートで述べられているように、現時点において悪意の XLL は、金銭的動機のある攻撃者や、国家に支援された脅威グループ (APT10/FIN7/Donot/TA410) により、ターゲットのデバイスに第一段階のペイロードを配信するための、感染ベクターとして悪用されている。
Cisco Talos は、「以前から、悪意の XLL アドインが存在していたとしても、完全に機能するバックドアを実装するために、APT グループが使用し始めたのは 2017年半ばまであり、また、それらの悪用を検出することはできなかった。さらに、より多くのコモディティ・マルウェア・ファミリーが、XLL を感染ベクターとして採用したことで、この2年間で使用量が大幅に増加したことも確認している」と述べている。
いまから1年前ほど前の 2022年初頭には、HP の脅威アナリスト・チームが、Threat Insights Report Q4 2021 の中で、「Excel アドイン (.XLL) を使用する攻撃者が6倍近く急増した」と報告していた。
これらの調査や報告は、Office ドキュメントを悪用する脅威アクターが、ターゲットのコンピュータにマルウェアを配信しインストールすることを、阻止するための広範な取り組みの一部である。
2022年7月以降において Microsoft は、Office VBA マクロが含まれる Office ドキュメントの、インターネットからのダウンロードを自動敵にブロックするよう、その方針を変更した。それにより、いくつかの Office アプリ (Access/Excel/PowerPoint/Visio/Word) において、インターネットからダウンロードしたドキュメントを、有効にすることが難しくなったと述べている。
2021年3月には、Office 365 と Antimalware Scan Interface (AMSI) との統合によりランタイム防御を拡張し、M365 における XLM マクロ保護を追加したが、そこには Excel 4.0 (XLM) マクロ・スキャンも含まれる。
それに先立つ 2021年1月には、Microsoft 365 のテナントで開かれる Excel 4.0 (XLM) マクロは、デフォルトで無効化された。また、2018年の時点で Microsoft は、VBA マクロを悪用する攻撃から顧客を守るために、Office 365 アプリへ向けて AMSI サポートが拡大されている。
2022/01/21 の「Microsoft Excel 4.0 マクロはデフォルトで OFF」に記されたように、昨年から Windows の Mark of the Web (MoTW) 保護が始まりましたが、その範囲が VBA Macro から Excel XLL へと広がったようです。その一方で、攻撃側も OneNote にまで侵害の対象を広げているようです。このような、防御側が抜け穴を塞ぐと、攻撃側は別の抜け穴に移行する状況を leapfrog と言うらしいですが、どこまで続くのでしょうか? 以下は、Excel XLL に関する、これまでの記事です。よろしければ、ご参照ください。
2022/12/28:Excel への再攻撃を狙う APT:XLL Add-in 侵入ベクター
2021/12/05:悪意のXLL アドインが RedLine マルウェアをプッシュ
IoT OT Security News 
You must be logged in to post a comment.