1、念念科Talos汇报：要挟分子使用已知的Excel间隙捆绑 调教

2、LastPass 安全事件捏续发酵，破解通例主密码只需 100 好意思元

3、马斯克任意裁人75%后，推越过现寰宇宕机

遥远以来，微软Office文献（尤其是Excel文献和Word文献）一直是一些网罗违规分子的见识。报复者借助不同的本领，使用镶嵌的Visual Basic for Applications宏，用不同类型的坏心软件感染计较机，进而实施网罗违规和网罗间谍行径。

在大多数情况下，用户在这些应用要领中引申代码时，仍然需重心击“快乐”，但一些社会工程伎俩诱使绝不知情的受害者点击并允许推作坏心宏自己。也有可能在莫得任何用户交互的情况下径直欺骗间隙，以启动坏心软件。

念念科Talos的一项新琢磨清晰，要挟分子可能会欺骗Excel文献中的事件处理函数来自动启动.XLL文献。最常见的要领是在Excel Add-In科罚器调用xlAutoOpen或xlAutoClose函数时推作坏心代码。

念念科Talos琢磨东谈主员欺骗VirusTotal中的特定查询来查找坏心的.XLL文献，并提供YARA功令来查找此类文献。他们将使用常用的微软.XLL SDK构建的原生.XLL样本和使用ExcelDNA框架生成的样分内开来，因为ExcelDNA框架是免费的，时常是最常被要挟分子所使用的框架（见下图）。

图2. VirusTotal中.XLL文献的提交数目（图片开始：念念科Talos）

图3. VirusTotal中.XLL文献的提交数目（图片开始：念念科Talos）

上头两个图表清晰，早在微软启动逼迫包含VBA宏的文档之前，要挟分子就一直在欺骗.XLL文献间隙了。

念念科Talos的琢磨东谈主员查明，在2017年7月之前，莫得提交任何潜在坏心的样本。在VirusTotal平台上发现的第一个.XLL报复载荷启动了calc.exe，这是渗入测试东谈主员和网罗违规分子常用的测试要领。同月提交的第二个样本启动了Meterpreter反向shell，可能用于渗入测试或坏心用途。

在那次行径之后，.XLL文献稀薄出现，但直到2021年底，Dridex和FormBook等恶名昭著的坏心软件家眷启动使用，欺骗.XLL文献的行径才有所增多。

一些要挟分子现正在使用.XLL文献来感染计较机。

据好意思国司法部宣称，APT10（又叫Red Apollo、menuPass、Stone Panda或Potassium）是一伙网罗间谍要挟分子，自2006年以来一直在运作。

2017年12月，琢磨东谈主员发现了一个文献欺骗.XLL注入了APT10特有的名为Anel的坏心软件

TA410是另一伙针对好意思国公用奇迹和搪塞机构下手的要挟分子，与APT10有着松散的运筹帷幄。他们使用的器用包也包括2020年发现的.XLL阶段。

针对克什米尔非渔利组织和巴基斯坦政府官员的DoNot团队似乎也使用了这种要领：一个.XLL文献包含两个导出函数，一个导出函数名为pdteong，第二个导出函数名为xlAutoOpen，使其成为功能皆全的.XLL报复载荷。pdteong导出函数称呼仅由DoNot团队使用。

FIN7是一伙来自俄罗斯的网罗违规要挟分子。2022年，这伙要挟分子启动在坏心电子邮件行径中使用.XLL文献算作附件来发送。这些文献被引申后，它们充任了下一个感染阶段的下载器。

但是，VirusTotal中.XLL检测出现岑岭主要来自Dridex坏心软件行径。这些.XLL文献被用作下一个感染阶段的下载器，该阶段是从通过Discord软件应用要领看望的无数报复载荷中遴荐出来的。

第二种最常见的载荷是FormBook，这是一种在网上不错廉价买到的信息窃取就业。它使用电子邮件行径来传播.XLL下载器，从而获得下一个感染阶段，即FormBook坏心软件自己。

最近针对匈牙利的AgentTesla和Lokibot行径通过电子邮件欺骗了.XLL文献。电子邮件假装来自匈牙利窥探局（见下图）。

图4. AgentTesla行径中的诈骗邮件本色（图片开始：念念科Talos）

念念科Talos将文本翻译如下：

“咱们是布达佩斯第七区窥探局。咱们已神话贵公司的优秀事迹。咱们中心需要您对咱们的2022年预算（附上）给一个报价。预算由咱们匈牙利政府的内务部共同出资。请于2022年8月25日前提交报价。请查收附件，若是您需要更多信息，请见告咱们。”

此外，Ducktail坏心软件是一种信息窃取坏心软件，由越南运营的要挟团伙运行，它也欺骗了.XLL。这伙要挟分子使用一个名为“方式营销筹划细节和Facebook谷歌告白效力汇报.xll”的文献，用Ducktail坏心软件感染见识。

为了通过使用VBA宏来匡助抵抗感染，微软决定窜改其Office居品的默许步履，逼迫从互联网下载的文献中的宏。

Office Add-In是不错添加到Office应用要领中以改良功能或增强应用要领外不雅的可引申代码段。Office Add-In可能包含VBA代码或在.NET字节码中镶嵌已编译功能的模块。这可能施展为COM就业器，也可能施展为用特定的文献扩张名重定名的动态相连库。

面向微软Word应用要领的Add-In需要放在由注册表值指定的位置，具体取决于Office版块。文献扩张名为. WLL的文献将被加载到Word进度空间中。

对于微软Excel，用户点击的任何具有.XLL扩张名的文献都将自动尝试运行Excel算作.XLL文献的翻开器。在职何情况下，Excel软件都会触发干系潜在坏心软件或安全问题的清晰音信，但这对平素用户无效，他们时常漠视此类警戒。

.XLL Add-in时常使用微软Excel .XLL软件建立器用包由C/C++编程说话建立，但Add-In Express和Excel-DNA等一些框架允许使用C#或VB.NET之类的.NET说话。

使用.XLL文献在企业环境中并不浩荡；不需要它的企业应该逼迫试图在其环境中引申.XLL文献的任何行径。若是贵公司如实允许使用.XLL文献，必须在端点和就业器上进行密切的监视，以便检测并观看任何可疑行径。

电子邮件网关不应该默许吸收.XLL文献，并增强企业用户的意志。若是他们从Excel中看到对于运行Add-In的警戒音信，又不知谈为什么会出现这种情况，就不应该允许引申，并打电话给IT/安一谈门。

【阅读原文】

LastPass 本年 11 月发生的安全事件捏续发酵。继安全众人对官方公告提议 14 点疑问之后，友商 1Password 也加入拆台行列。

在 LastPass 公告中示意破解用户主密码需要数百万年时辰，此前安全众人质疑示意破解通例用户主密码只需要 2 个月时辰。而当今友商 1Password 再次拆台，示意破解通例主密码只需要 100 好意思元（约 698 元东谈主民币）。

1Password 的首席安全架构师 Jeffrey Goldberg 在一篇博文中示意，LastPass 公告所说起的本色大幅夸大了破解难度，而若是简直想要破解通例 LastPass 客户的主密码，资本只需要 100 好意思元（约 698 元东谈主民币）傍边。

Goldberg 营救这个不雅点的根由是大多数用户的实践生涯中的主密码不是就地的捆绑 调教，对于密码破解者来说他们也知谈这小数。若是破解仅仅英文和数字的密码（举例 Fido8my2Sox）要较着浅易好多，而若是破解“2b

• 安全
• 招聘
• 社区
• 看雪
• 捆绑 调教