Word宏木马概述

Word宏木马概述

一、定义与核心特性

Word宏木马是‌利用Microsoft Word的宏功能编写的恶意代码‌，通过嵌入文档或模板的宏中传播。其核心特性包括：

• ‌依赖宿主程序‌：需通过Word文档或模板为载体，借助用户启用宏功能激活恶意行为‌。
• ‌跨平台性‌：基于Word宏语言（如VBA）实现，可在不同操作系统（如Windows、MacOS）的Word环境中运行‌。
• ‌可篡改性‌：未加密的宏代码易被修改为恶性功能，例如删除文件或窃取数据‌28。

二、传播机制

1. ‌宏功能滥用‌
   • 攻击者在文档中嵌入恶意宏代码，用户启用宏时触发感染，如感染通用模板（如Normal.dot），导致后续新建或打开的文档均被感染‌。
2. ‌漏洞利用‌
   • 利用Word软件未修补的漏洞（如内存溢出漏洞），构造特制文档，在用户打开时自动执行恶意代码‌。
3. ‌OLE技术隐藏‌
   • 将木马程序嵌入文档的OLE对象（如动态链接库、脚本文件），用户与对象交互时触发木马植入‌。

三、技术特征与危害

1. ‌隐蔽性‌
   • 伪装为正常宏（如文档保护功能），或通过修改注册表、禁用安全选项（如宏警告）逃避检测‌。
2. ‌触发机制‌
   • 根据预设条件激活，例如特定时间、文档操作（如保存或关闭）或系统状态（如网络连接）‌。
3. ‌攻击危害‌
   • ‌数据破坏‌：删除文档内容或加密文件（如BlackEnergy木马攻击乌克兰电网系统）‌。
   • ‌远程控制‌：与攻击者服务器通信，上传隐私数据或接收指令（如窃取登录凭证）‌。

四、防御措施

1. ‌禁用非必要宏功能‌
   • 在Word设置中默认禁用宏，仅允许受信任来源的文档启用宏‌。
2. ‌更新与补丁管理‌
   • 及时修复Word软件漏洞（如CVE公告的远程代码执行漏洞），阻断漏洞利用途径‌。
3. ‌行为监控与沙盒检测‌
   • 使用安全软件监控异常行为（如注册表修改、网络请求），并通过沙盒隔离分析可疑文档‌。
4. ‌用户安全意识提升‌
   • 警惕来源不明的文档，避免盲目启用宏或点击文档内嵌对象‌。

五、典型变种示例

• ‌Macro.Word97.Mountain.C‌：通过随机变量名规避静态检测，感染文档后修改系统文件‌。
• ‌Macro.Word97.Hich‌：禁用Esc键及宏安全警告，根据系统时间删除文档内容‌。

Word宏木马因其高隐蔽性和低技术门槛，成为APT攻击（如BlackEnergy事件‌3）的常见载体，需结合技术防御与用户教育实现全面防护‌