近期,研究人員發(fā)現(xiàn)使用惡意 Microsoft Excel 加載項(xiàng)(XLL)文件發(fā)起攻擊的行動(dòng)有所增加,這項(xiàng)技術(shù)的 MITRE ATT&CK 技術(shù)項(xiàng)編號(hào)為 T1137.006。這些加載項(xiàng)都是為了使用戶能夠利用高性能函數(shù),為 Excel 工作表提供 API 調(diào)用接口。與 VBA 等其他接口相比,該方式能夠更有效地?cái)U(kuò)展 Excel 的能力,使其支持更多功能,例如多線程?,F(xiàn)在,攻擊者也濫用這項(xiàng)技術(shù)來(lái)達(dá)成自己的惡意目標(biāo)。攻擊者將帶有惡意 XLL 附件或者惡意鏈接的電子郵件發(fā)送給用戶,受害者點(diǎn)擊附件打開 Microsoft Excel 后會(huì)提示其安裝并激活加載項(xiàng)。攻擊者通常將代碼置于 xlAutoOpen函數(shù)中,該函數(shù)會(huì)在加載項(xiàng)被激活時(shí)立即觸發(fā)執(zhí)行。這意味著,與要求用戶啟用宏的 VBA 宏不同,受害者只要打開就會(huì)執(zhí)行惡意代碼。由于 XLL 是可移植的可執(zhí)行文件,許多電子郵件網(wǎng)關(guān)都會(huì)攔截該格式的文件或者僅允許受信任簽名的加載項(xiàng)。因?yàn)?XLL 惡意文件的快速增長(zhǎng),我們?cè)诘叵路缸镎搲线M(jìn)行了相應(yīng)的調(diào)查,評(píng)估使用這種文件格式的惡意工具和服務(wù)的流行程度。