1、想科Talos施展：威迫分子使用已知的Excel缝隙福建兄妹

2、LastPass 安全事件抓续发酵，破解旧例主密码只需 100 好意思元

3、马斯克放荡裁人75%后，推卓越现大众宕机

永恒以来，微软Office文献（尤其是Excel文献和Word文献）一直是一些网罗违规分子的倡导。袭击者借助不同的时期，使用镶嵌的Visual Basic for Applications宏，用不同类型的坏心软件感染联想机，进而实施网罗违规和网罗间谍步履。

在大多数情况下，用户在这些应用设施中实施代码时，仍然需重点击“本旨”，但一些社会工程伎俩诱使绝不知情的受害者点击并允许实施坏心宏本人。也有可能在莫得任何用户交互的情况下径直应用缝隙，以启动坏心软件。

想科Talos的一项新琢磨清晰，威迫分子可能会应用Excel文献中的事件处理函数来自动启动.XLL文献。最常见的次第是在Excel Add-In贬责器调用xlAutoOpen或xlAutoClose函数时实施坏心代码。

想科Talos琢磨东谈主员应用VirusTotal中的特定查询来查找坏心的.XLL文献，并提供YARA公法来查找此类文献。他们将使用常用的微软.XLL SDK构建的原生.XLL样本和使用ExcelDNA框架生成的样分内开来，因为ExcelDNA框架是免费的，经常是最常被威迫分子所使用的框架（见下图）。

图2. VirusTotal中.XLL文献的提交数目（图片开头：想科Talos）

图3. VirusTotal中.XLL文献的提交数目（图片开头：想科Talos）

上头两个图透清晰，早在微软驱动退却包含VBA宏的文档之前，威迫分子就一直在应用.XLL文献缝隙了。

想科Talos的琢磨东谈主员查明，在2017年7月之前，莫得提交任何潜在坏心的样本。在VirusTotal平台上发现的第一个.XLL袭击载荷启动了calc.exe，这是浸透测试东谈主员和网罗违规分子常用的测试次第。同月提交的第二个样本启动了Meterpreter反向shell，可能用于浸透测试或坏心用途。

在那次步履之后，.XLL文献稀薄出现，但直到2021年底，Dridex和FormBook等恶名昭著的坏心软件家眷驱动使用，应用.XLL文献的步履才有所增多。

一些威迫分子现正在使用.XLL文献来感染联想机。

据好意思国司法部宣称，APT10（又叫Red Apollo、menuPass、Stone Panda或Potassium）是一伙网罗间谍威迫分子，自2006年以来一直在运作。

2017年12月，琢磨东谈主员发现了一个文献应用.XLL注入了APT10特有的名为Anel的坏心软件

TA410是另一伙针对好意思国公用事迹和应答机构下手的威迫分子，与APT10有着松散的辩论。他们使用的器具包也包括2020年发现的.XLL阶段。

针对克什米尔非渔利组织和巴基斯坦政府官员的DoNot团队似乎也使用了这种次第：一个.XLL文献包含两个导出函数，一个导出函数名为pdteong，第二个导出函数名为xlAutoOpen，使其成为功能王人全的.XLL袭击载荷。pdteong导出函数称呼仅由DoNot团队使用。

FIN7是一伙来自俄罗斯的网罗违规威迫分子。2022年，这伙威迫分子驱动在坏心电子邮件步履中使用.XLL文献四肢附件来发送。这些文献被实施后，它们充任了下一个感染阶段的下载器。

但是，VirusTotal中.XLL检测出现岑岭主要来自Dridex坏心软件步履。这些.XLL文献被用作下一个感染阶段的下载器，该阶段是从通过Discord软件应用设施访谒的无数袭击载荷中礼聘出来的。

第二种最常见的载荷是FormBook，这是一种在网上不错廉价买到的信息窃取就业。它使用电子邮件步履来传播.XLL下载器，从而赢得下一个感染阶段，即FormBook坏心软件本人。

最近针对匈牙利的AgentTesla和Lokibot步履通过电子邮件应用了.XLL文献。电子邮件假装来自匈牙利警员局（见下图）。

图4. AgentTesla步履中的诓骗邮件本质（图片开头：想科Talos）

想科Talos将文本翻译如下：

“咱们是布达佩斯第七区警员局。咱们已传奇贵公司的优秀功绩。咱们中心需要您对咱们的2022年预算（附上）给一个报价。预算由咱们匈牙利政府的内务部共同出资。请于2022年8月25日前提交报价。请查收附件，淌若您需要更多信息，请奉告咱们。”

此外，Ducktail坏心软件是一种信息窃取坏心软件，由越南运营的威迫团伙运行，它也应用了.XLL。这伙威迫分子使用一个名为“技俩营销计算细节和Facebook谷歌告白服从施展.xll”的文献，用Ducktail坏心软件感染倡导。

为了通过使用VBA宏来匡助起义感染，微软决定更正其Office居品的默许步履，退却从互联网下载的文献中的宏。

Office Add-In是不错添加到Office应用设施中以创新功能或增强应用设施外不雅的可实施代码段。Office Add-In可能包含VBA代码或在.NET字节码中镶嵌已编译功能的模块。这可能发扬为COM就业器，也可能发扬为用特定的文献膨大名重定名的动态一语气库。

面向微软Word应用设施的Add-In需要放在由注册表值指定的位置，具体取决于Office版块。文献膨大名为. WLL的文献将被加载到Word程度空间中。

对于微软Excel，用户点击的任何具有.XLL膨大名的文献都将自动尝试运行Excel四肢.XLL文献的翻开器。在职何情况下，Excel软件都会触发辩论潜在坏心软件或安全问题的清晰讯息，但这对泛泛用户无效，他们经常苛刻此类告诫。

.XLL Add-in时常使用微软Excel .XLL软件成立器具包由C/C++编程谈话成立，但Add-In Express和Excel-DNA等一些框架允许使用C#或VB.NET之类的.NET谈话。

使用.XLL文献在企业环境中并不宽绰；不需要它的企业应该退却试图在其环境中实施.XLL文献的任何步履。淌若贵公司确乎允许使用.XLL文献，必须在端点和就业器上进行密切的监视，以便检测并考核任何可疑步履。

电子邮件网关不应该默许秉承.XLL文献，并增强企业用户的康健。淌若他们从Excel中看到对于运行Add-In的告诫讯息，又不知谈为什么会出现这种情况，就不应该允许实施，并打电话给IT/安一起门。

【阅读原文】

LastPass 本年 11 月发生的安全事件抓续发酵。继安全各人对官方公告提倡 14 点疑问之后，友商 1Password 也加入拆台行列。

在 LastPass 公告中暗示破解用户主密码需要数百万年时代，此前安全各人质疑暗示破解旧例用户主密码只需要 2 个月时代。而当前友商 1Password 再次拆台，暗示破解旧例主密码只需要 100 好意思元（约 698 元东谈主民币）。

1Password 的首席安全架构师 Jeffrey Goldberg 在一篇博文中暗示，LastPass 公告所说起的本质大幅夸大了破解难度，而淌若简直想要破解旧例 LastPass 客户的主密码，本钱只需要 100 好意思元（约 698 元东谈主民币）傍边。

Goldberg 复古这个不雅点的情理是大多数用户的现实生涯中的主密码不是就地的福建兄妹，对于密码破解者来说他们也知谈这少许。淌若破解仅仅英文和数字的密码（举例 Fido8my2Sox）要显着浅显许多，而淌若破解“2b

• 12月
• 2022年
• 福建兄妹
• 31日
• 分子