微软Office 365安全服务可扫描XLM恶意宏

微软本周宣布把Office 365的恶意软件扫描技术扩充，以扫描XLM写成的恶意宏。

反恶意软件扫描界面（Antimalware Scan Interface，AMSI）原本是Windows 中允许应用程序或服务和系统上的安全软件进行通讯，要求扫描内存缓冲区是否有执行程式码下载的Script行为，像是VBscript、JavaScript及PowerShell等。2018年9月微软将AMSI整合到Office 365用户端应用，以便扫描VBA宏的runtime行为，防止恶意宏。

XLM宏是相当古老的宏语言，最早微软1992年Excel 4.0即使用XLM，直到1993年Excel才改用VBA。XLM虽然很简单，但却可相容于Windows，而且有许多企业的合法应用中仍然使用XLM。但二年半前Office 365整合了AMSI防范VBA恶意宏，迫使攻击者转向XLM宏，用它来呼叫Win32 API执行shell指令，包括Trickbot、Zloader和Ursnif背后的网络罪犯。

微软指出，和VBA和其他描述语言一样，XLM程式码也很容易加以混淆(obfuscate)以掩饰宏的真实意图，像是只要简单的变更字串即可隐藏URL或档案名称躲过静态侦测产品。

此外，XLM的特性也有利于攻击者。例如，XLM的宏程式码在Excel文件中未分开储存，每个XLM宏宣告都是在一个储存格中的公式，想抓出整个XLM宏相当困难，必须在文件内一格一格检查。其次XLM宏的执行并非如一般由上而下，可利用控制宣告横向进行。这些特性配合混淆手法，让攻击者得以轻易躲过静态分析。

从推出迄今，AMSI已经可用于侦测多种恶意宏、script-based恶意程式，包括VBscript、JavaScript、PowerShell、Office VBA宏、WMI、动态载入的.NET assembly、MSHTA/Jscript 9，以及今天的XLM。AMSI的资料可作为训练恶意行为的机器学习模型，用来强化Microsoft Defender for Endpoint的防护。如果Microsoft Defender等防毒软件侦测到恶意XLM宏，宏将无法执行，而且终止Excel，借此防止攻击。

XLM宏扫描功能目前已部署到Excel中，可用于注册为装置上AMSI供应者的防毒软件（如Microsoft Defender Antivirus）。已整合AMSI的Office也会加入这项功能。另外，二月份 Current Channel及Monthly Enterprise Channel两个频道的Microsoft/Office 365用户端也预设开启。