Atslēgas līdzņemšanai
- Microsoft lēmums bloķēt makro atņems apdraudējuma dalībniekiem šo populāro ļaunprātīgas programmatūras izplatīšanas līdzekli.
- Tomēr pētnieki atzīmē, ka kibernoziedznieki jau ir mainījuši taktiku un ievērojami samazinājuši makro izmantošanu pēdējās ļaunprātīgās programmatūras kampaņās.
- Makro bloķēšana ir solis pareizajā virzienā, taču dienas beigās cilvēkiem ir jābūt uzmanīgākiem, lai izvairītos no inficēšanās, iesaka eksperti.
Lai gan Microsoft veltīja savu laiku, pieņemot lēmumu bloķēt makro pēc noklusējuma programmā Microsoft Office, draudu dalībnieki ātri pārvarēja šo ierobežojumu un izstrādāja jaunus uzbrukuma vektorus.
Saskaņā ar drošības pārdevēja Proofpoint jauno pētījumu makro vairs nav iecienītākais ļaunprātīgas programmatūras izplatīšanas līdzeklis. No 2021. gada oktobra līdz 2022. gada jūnijam parasto makro izmantošana samazinājās par aptuveni 66%. No otras puses, ISO failu (diska attēla) izmantošana palielinājās par vairāk nekā 150%, savukārt LNK (Windows File Shortcut) izmantošana. faili tajā pašā laika posmā palielinājās par 1 675%. Šie failu tipi var apiet Microsoft makro bloķēšanas aizsardzību.
"Draudu dalībnieki, kas atsakās no tiešas makropielikumu izplatīšanas e-pastā, ir būtiskas izmaiņas draudu vidē," paziņojumā presei sacīja Šerrods Degripo, Proofpoint draudu izpētes un noteikšanas viceprezidents. "Draudu dalībnieki tagad pieņem jaunu taktiku, lai piegādātu ļaunprātīgu programmatūru, un sagaidāms, ka turpināsies pastiprināta tādu failu kā ISO, LNK un RAR izmantošana."
Moving ar laiku
E-pasta apmaiņā ar Lifewire kiberdrošības pakalpojumu sniedzēja Cyphere direktors Harmans Singhs aprakstīja makro kā mazas programmas, kuras var izmantot uzdevumu automatizēšanai programmā Microsoft Office, un XL4 un VBA makro ir visbiežāk izmantotie makro. Biroja lietotāji.
Raugoties no kibernoziedzības perspektīvas, Sings teica, ka draudu dalībnieki var izmantot makro dažās diezgan nepatīkamās uzbrukuma kampaņās. Piemēram, makro var izpildīt ļaunprātīgas koda rindas upura datorā ar tādām pašām privilēģijām kā personai, kas ir pieteikusies. Draudu dalībnieki var ļaunprātīgi izmantot šo piekļuvi, lai izfiltrētu datus no apdraudēta datora vai pat iegūtu papildu ļaunprātīgu saturu no ļaunprātīgas programmatūras serveriem, lai piesaistītu vēl vairāk kaitīgu ļaunprātīgu programmatūru.
Tomēr Sings ātri piebilda, ka Office nav vienīgais veids, kā inficēt datorsistēmas, bet "tas ir viens no populārākajiem [mērķiem], jo gandrīz visi interneta lietotāji izmanto Office dokumentus."
Lai valdītu briesmās, Microsoft sāka marķēt dažus dokumentus no neuzticamām vietām, piemēram, interneta, ar atribūtu Mark of the Web (MOTW) - koda virkni, kas norāda uz drošības līdzekļu iedarbināšanu.
Savā pētījumā Proofpoint apgalvo, ka makro izmantošanas samazināšanās ir tieša atbilde uz Microsoft lēmumu failos atzīmēt MOTW atribūtu.
Sings nav pārsteigts. Viņš paskaidroja, ka saspiestie arhīvi, piemēram, ISO un RAR faili, nepaļaujas uz Office un var paši palaist ļaunprātīgu kodu. "Ir skaidrs, ka taktikas maiņa ir daļa no kibernoziedznieku stratēģijas, lai nodrošinātu, ka viņi pieliek pūles, lai izvēlētos labāko uzbrukuma metodi, kurai ir vislielākā varbūtība [inficēt cilvēkus]."
Satur ļaunprātīgu programmatūru
Ļaunprātīgas programmatūras iegulšana saspiestos failos, piemēram, ISO un RAR failos, arī palīdz izvairīties no atklāšanas metodēm, kas koncentrējas uz failu struktūras vai formāta analīzi, skaidroja Sings. "Piemēram, daudzas ISO un RAR failu noteikšanas ir balstītas uz failu parakstiem, kurus var viegli noņemt, saspiežot ISO vai RAR failu ar citu saspiešanas metodi."
Saskaņā ar Proofpoint, tāpat kā ļaundabīgie makro, vispopulārākais veids, kā pārsūtīt šos arhīvus, kuros ir daudz ļaunprātīgas programmatūras, ir e-pasts.
Proofpoint pētījums ir balstīts uz dažādu bēdīgi slavenu apdraudējuma dalībnieku darbību izsekošanu. Tajā tika novērots, ka jaunos sākotnējos piekļuves mehānismus izmanto grupas, kas izplata Bumblebee un Emotet ļaunprātīgu programmatūru, kā arī vairāki citi kibernoziedznieki visu veidu ļaunprātīgai programmatūrai.
"Vairāk nekā puse no 15 izsekotajiem apdraudējuma dalībniekiem, kas izmantoja ISO failus [laikā no 2021. gada oktobra līdz 2022. gada jūnijam], sāka tos izmantot kampaņās pēc 2022. gada janvāra," uzsvēra Proofpoint.
Lai nostiprinātu savu aizsardzību pret šīm apdraudējuma dalībnieku taktikas izmaiņām, Sings iesaka cilvēkiem uzmanīties no nevēlamiem e-pastiem. Viņš arī brīdina cilvēkus neklikšķināt uz saitēm un atvērt pielikumus, ja vien viņi nav bez šaubām pārliecināti, ka šie faili ir droši.
"Neuzticieties nevienam avotam, ja vien negaidāt ziņojumu ar pielikumu," atkārtoja Sings. "Uzticieties, taču pārbaudiet, piemēram, pirms [pielikuma atvēršanas] piezvaniet kontaktpersonai, lai noskaidrotu, vai tas tiešām ir svarīgs e-pasts no jūsu drauga vai ļaunprātīgs no viņa uzlauztajiem kontiem."
