宏代码动态解密加载(Dynamic Macro Code Decryption Loading)是一种利用Office文档内置解密机制实现隐蔽持久化的技术。攻击者将恶意代码进行多层加密后嵌入文档模板,在文档打开时通过合法宏函数触发解密流程,动态加载内存驻留模块。该技术通过分离存储阶段与执行阶段的代码形态,规避静态特征检测,同时利用Office内置的VBA解释器作为代码执行载体,保持进程链合法性。
该匿迹技术的核心在于构建"加密外壳+内存加载"的双阶段执行架构。攻击者首先对恶意负载进行AES或RC4加密,并将其以Base64编码形式嵌入文档属性或自定义XML部件。在宏代码中设计符合业务场景的触发逻辑(如文档保存、窗体按钮点击),在运行时调用系统API完成解密与内存映射。关键创新点在于利用VBA的字符串处理函数作为解密器,通过逐字节运算避免使用敏感API调用。内存驻留模块采用反射式DLL注入技术,完全脱离文件系统运行,使得传统基于文件监控的防御机制失效。整个攻击链仅在内存中保留解密后的有效载荷,且宏代码本身不包含可检测的恶意特征,实现从存储态到运行态的全周期隐匿。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon