Makron estäminen on vasta ensimmäinen askel haittaohjelmien päihittämisessä

August 02, 2022
SisäänUutiset Internet Turvallisuus

Microsoftin päätös estää makrot ryöstää uhkatoimijoilta tämän suositun keinon levittää haittaohjelmia.
Tutkijat kuitenkin huomauttavat, että kyberrikolliset ovat jo vaihtaneet tapoja ja vähentäneet merkittävästi makrojen käyttöä viimeaikaisissa haittaohjelmakampanjoissa.
Makrojen estäminen on askel oikeaan suuntaan, mutta loppujen lopuksi ihmisten on oltava valppaampia välttääkseen tartunnan, asiantuntijat ehdottavat.

Microsoft-tietokone, joka näyttää varoituksen haitallisesta tiedostosta. — Ed Hardie / Unsplash.

Vaikka Microsoft otti oman makean aikansa uhkatoimijat päättivät estää makrot oletusarvoisesti Microsoft Officessa, joten he kiertävät tämän rajoituksen nopeasti ja kehittelivät uusia hyökkäysvektoreita.

Mukaan uusi tutkimus Tietoturvatoimittaja Proofpointin mukaan makrot eivät ole enää suosikkikeinoja haittaohjelmien levittämiseen. Yleisten makrojen käyttö väheni noin 66 % lokakuun 2021 ja kesäkuun 2022 välisenä aikana. Toisaalta, käyttö ISO-tiedostot (levykuva) rekisteröi yli 150 %:n kasvun, kun taas käyttö LNK (Windows File Shortcut) -tiedostot kasvoi huikeat 1 675 % samassa ajassa. Nämä tiedostotyypit voivat ohittaa Microsoftin makroestosuojaukset.

"Uhkatoimijat, jotka luopuvat makropohjaisten liitteiden suorasta jakamisesta sähköpostissa, edustavat merkittävää muutosta uhkakuvassa." Sherrod DeGrippo, Proofpointin uhkien tutkimuksesta ja havaitsemisesta vastaava johtaja, sanoi lehdistötiedotteessa. "Uhkatoimijat omaksuvat nyt uusia taktiikkaa haittaohjelmien toimittamiseen, ja tiedostojen, kuten ISO, LNK ja RAR, käytön odotetaan jatkuvan."

Liikkuminen ajan mukana

Sähköpostinvaihdossa Lifewiren kanssa Harman Singh, kyberturvallisuuspalveluntarjoajan johtaja Cyphere, kuvaili makroja pieniksi ohjelmiksi, joita voidaan käyttää tehtävien automatisointiin Microsoft Officessa. XL4- ja VBA-makrot ovat Office-käyttäjien yleisimmin käyttämiä makroja.

Tietoverkkorikollisuuden näkökulmasta Singh sanoi, että uhkatoimijat voivat käyttää makroja melko ilkeisiin hyökkäyskampanjoihin. Makrot voivat esimerkiksi suorittaa haitallisia koodirivejä uhrin tietokoneella samoilla oikeuksilla kuin sisäänkirjautuneella henkilöllä. Uhkatoimijat voivat käyttää tätä käyttöoikeutta väärin suodattaakseen tietoja vaarantuneesta tietokoneesta tai jopa nappatakseen ylimääräistä haitallista sisältöä haittaohjelman palvelimilta saadakseen lisää haitallisia haittaohjelmia.

Singh kuitenkin lisäsi nopeasti, että Office ei ole ainoa tapa tartuttaa tietokonejärjestelmiä, mutta "se on yksi suosituimmista [kohteista], koska lähes kaikki käyttäjät käyttävät Office-asiakirjoja Internet."

Hallitakseen uhkaa Microsoft alkoi merkitä joitakin asiakirjoja epäluotetuista paikoista, kuten Internet, jossa on Mark of the Web (MOTW) -attribuutti, koodijono, joka määrittää suojauksen ominaisuudet.

Proofpoint väittää tutkimuksessaan, että makrojen käytön väheneminen on suora vastaus Microsoftin päätökseen merkitä MOTW-attribuutti tiedostoihin.

Singh ei ole yllättynyt. Hän selitti, että pakatut arkistot, kuten ISO- ja RAR-tiedostot, eivät ole riippuvaisia Officesta ja voivat suorittaa haitallista koodia yksinään. "On selvää, että taktiikoiden muuttaminen on osa kyberrikollisten strategiaa varmistaakseen, että he tekevät parhaansa parhaan hyökkäysmenetelmän löytämiseksi, jolla on suurin todennäköisyys [tartuttaa ihmisiä]."

Sisältää haittaohjelmia

Haittaohjelmien upottaminen pakattuihin tiedostoihin, kuten ISO- ja RAR-tiedostoihin, auttaa myös välttämään tunnistustekniikoita, jotka keskittyvät tiedostojen rakenteen tai muodon analysointiin, Singh selitti. "Esimerkiksi monet ISO- ja RAR-tiedostojen tunnistukset perustuvat tiedostojen allekirjoituksiin, jotka voidaan helposti poistaa pakkaamalla ISO- tai RAR-tiedosto jollain muulla pakkausmenetelmällä."

Kädet tietokoneen näppäimistöllä, jonka näytöllä on viruskuva. — sarayut / Getty Images

Proofpointin mukaan, kuten niitä edeltäneet haitalliset makrot, suosituin tapa näiden haittaohjelmien täynnä olevien arkistojen siirtämiseen on sähköposti.

Proofpointin tutkimus perustuu erilaisten pahamaineisten uhkatoimijoiden jäljittämiseen. Se havaitsi, että Bumblebee- ja Emotet-haittaohjelmia levittävät ryhmät sekä useat muut kyberrikolliset käyttävät uusia alkupääsymekanismeja kaikenlaisiin haittaohjelmiin.

"Yli puolet 15 seuratusta uhkatoimijasta, jotka käyttivät ISO-tiedostoja [lokakuun 2021 ja kesäkuun 2022 välisenä aikana] alkoivat käyttää niitä kampanjoissa tammikuun 2022 jälkeen", korosti Proofpoint.

Singh ehdottaa, että ihmiset ovat varovaisia ei-toivottujen sähköpostien suhteen, jotta voit tukea puolustustasi näitä uhkatekijöiden taktiikkamuutoksia vastaan. Hän myös varoittaa ihmisiä napsauttamasta linkkejä ja avaamasta liitteitä, elleivät he ole epäilemättä varmoja näiden tiedostojen turvallisuudesta.

"Älä luota mihinkään lähteeseen, ellet odota viestiä liitteenä", Singh toisti. "Luota, mutta varmista esimerkiksi, että soita yhteyshenkilölle ennen [liitteen avaamista] nähdäksesi, onko kyseessä todella tärkeä sähköposti ystävältäsi vai haitallinen sähköposti hänen vaarantuneista tileistään."