微软为Office 365提供恶意宏扫描和检测

office教程

宏功能因其功能非常强大因此被很多商务人士们使用,但是宏强大的同时也存在安全隐患例如执行恶意代码。在最近五年里黑客通过宏功能发动的攻击非常多,究其原因主要是普通用户们并不清楚宏所以容易放松警惕。例如通过宏功能展开攻击最常用的手段就是群发垃圾邮件,当用户们打开特定文档时就会弹出启用宏的通知。在启用的瞬间携带恶意代码的宏模块就会执行恶意代码,进而配合其他漏洞直接获得用户操作系统管理权限。

 

微软为Office 365提供恶意宏扫描和检测1.png

 

微软提供的宏安全扫描服务:

宏安全扫描主要是依靠反恶意软件扫描接口实现的,其实也就是调用 Windows Defender 在线监测宏安全。对于 Windows Defender 无法识别的宏模块同样会被上传云端,由云端机器学习继续判断宏模块是否安全。即便是使用混淆技术的恶意宏模块也可以被识别出来,进而提高对文档类携带恶意宏的文件的安全防护能力。

 

微软为Office 365提供恶意宏扫描和检测2.png

 

记录行为和主动触发:

绝大多数恶意宏都会采用混淆技术以便躲过常规检测,因此微软本次也特别支持对经混淆的宏模块行为检测。按预设流程系统会首先记录宏模块的所有行为,接着触发宏模块的可以行为,最后如果判断恶意则立即拦截。云方面微软同时也集成WindowsDefender APT来进行云端识别,这样可以极大地提高对恶意宏的判断效率。

 

微软为Office 365提供恶意宏扫描和检测3.png

 

率先面向Microsoft Office 365推出:

目前这项功能已经率先面向Microsoft Office 365 订阅版用户推出,但后续是否支持其他版本暂时尚不清楚。用户无需进行任何操作默认情况下只要升级到最新版即支持此功能,启用携带宏模块的文档时就会触发扫描。需要提醒的是尽管微软提供防护但用户依然应该小心宏,从网上下载的携带宏的文档绝大部分都是恶意的宏。对于普通用户来说如果用不上宏模块可以直接将其关闭,避免某些时候可能不小心操作陷入钓鱼者的圈套中。

相关文章