Makrokomandų blokavimas yra tik pirmasis žingsnis siekiant nugalėti kenkėjiškas programas

August 02, 2022
ĮŽinios Interneto Apsauga

„Microsoft“ sprendimas blokuoti makrokomandas atims iš grėsmių subjektų šią populiarią kenkėjiškų programų platinimo priemonę.
Tačiau mokslininkai pastebi, kad kibernetiniai nusikaltėliai jau pakeitė taktiką ir gerokai sumažino makrokomandų naudojimą pastarosiose kenkėjiškų programų kampanijose.
Makrokomandų blokavimas yra žingsnis teisinga kryptimi, tačiau dienos pabaigoje žmonės turi būti budresni, kad neužsikrėstų, teigia ekspertai.

„Microsoft“ kompiuteris, kuriame rodomas įspėjimas apie kenkėjišką failą. — Edas Hardie / Unsplash.

Nors „Microsoft“. skyrė savo saldaus laiko Nusprendę blokuoti makrokomandas pagal numatytuosius nustatymus programoje „Microsoft Office“, grėsmės veikėjai greitai apėjo šį apribojimą ir sukūrė naujus atakos vektorius.

Pagal naujų tyrimų saugos tiekėjo „Proofpoint“ teigimu, makrokomandos nebėra mėgstamiausia kenkėjiškų programų platinimo priemonė. Nuo 2021 m. spalio mėn. iki 2022 m. birželio mėn. įprastų makrokomandų naudojimas sumažėjo maždaug 66 %. Kita vertus, naudojimas ISO failai (disko vaizdas) užregistruotas daugiau nei 150% padidėjimas, o naudojimas

LNK („Windows File Shortcut“) failai per tą patį laikotarpį išaugo stulbinančiai 1 675 %. Šie failų tipai gali apeiti „Microsoft“ makrokomandų blokavimo apsaugą.

„Grėsmės veikėjai, atsisakantys tiesioginio makrokomandomis pagrįstų priedų platinimo el. paštu, reiškia reikšmingą grėsmės kraštovaizdžio pasikeitimą. Sherrodas DeGrippo, „Proofpoint“ grėsmių tyrimų ir aptikimo skyriaus viceprezidentas, sakoma pranešime spaudai. „Grėsmės veikėjai dabar imasi naujų kenkėjiškų programų pristatymo taktikos, todėl tikimasi, kad ir toliau bus naudojamas didesnis failų, tokių kaip ISO, LNK ir RAR, naudojimas.

Judėjimas su laiku

El. paštu su „Lifewire“ Harmanas Singhas, kibernetinio saugumo paslaugų teikėjo direktorius Sifera, makrokomandas apibūdino kaip mažas programas, kurios gali būti naudojamos automatizuoti užduotis Microsoft Office, o XL4 ir VBA makrokomandos yra dažniausiai Office vartotojų naudojamos makrokomandos.

Žvelgiant iš elektroninių nusikaltimų perspektyvos, Singhas teigė, kad grėsmės veikėjai gali naudoti makrokomandas kai kurioms gana bjaurioms atakų kampanijoms. Pavyzdžiui, makrokomandos gali vykdyti kenkėjiškas kodo eilutes aukos kompiuteryje su tomis pačiomis privilegijomis kaip ir prisijungęs asmuo. Grėsmių dalyviai gali piktnaudžiauti šia prieiga, kad išfiltruotų duomenis iš pažeisto kompiuterio arba net paimtų papildomą kenkėjišką turinį iš kenkėjiškų programų serverių, kad pritrauktų dar daugiau žalingų kenkėjiškų programų.

Tačiau Singhas greitai pridūrė, kad „Office“ nėra vienintelis būdas užkrėsti kompiuterines sistemas, bet „tai vienas iš populiariausių [tikslų], nes beveik visi naudojasi Office dokumentais Internetas."

Siekdama karaliauti grėsmėje, „Microsoft“ pradėjo žymėti kai kuriuos dokumentus iš nepatikimų vietų, pvz., internetą, su atributu „Žymėjimas žiniatinkliu“ (MOTW) – kodo eilute, nurodanti saugą funkcijos.

Savo tyrimuose „Proofpoint“ teigia, kad makrokomandų naudojimo sumažėjimas yra tiesioginis atsakas į „Microsoft“ sprendimą priskirti failams MOTW atributą.

Singhas nesistebi. Jis paaiškino, kad suspausti archyvai, tokie kaip ISO ir RAR failai, nepasikliauja „Office“ ir gali patys paleisti kenkėjišką kodą. „Akivaizdu, kad taktikos keitimas yra kibernetinių nusikaltėlių strategijos dalis, kuria siekiama užtikrinti, kad jie stengtųsi ieškoti geriausio atakos metodo, kuris turi didžiausią tikimybę [užkrėsti žmones].

Su kenkėjiška programa

Kenkėjiškų programų įterpimas į suglaudintus failus, pvz., ISO ir RAR failus, taip pat padeda išvengti aptikimo metodų, kurių pagrindinis dėmesys skiriamas failų struktūros ar formato analizei, paaiškino Singhas. "Pavyzdžiui, daugelis ISO ir RAR failų aptikimų yra pagrįsti failų parašais, kuriuos galima lengvai pašalinti suglaudinant ISO arba RAR failą kitu glaudinimo būdu."

Rankos ant kompiuterio klaviatūros su viruso grafika ant ekrano. — sarayut / Getty Images

Anot „Proofpoint“, kaip ir prieš jas naudotos kenkėjiškos makrokomandos, populiariausia šių kenkėjiškų programų apkrautų archyvų siuntimo priemonė yra el. paštas.

„Proofpoint“ tyrimai yra pagrįsti įvairių žinomų grėsmės veikėjų veiklos stebėjimu. Jis stebėjo, kaip nauji pradiniai prieigos mechanizmai, kuriuos naudoja grupės, platinančios „Bumblebee“ ir „Emotet“ kenkėjiškas programas, taip pat keletas kitų kibernetinių nusikaltėlių, skirtų visų rūšių kenkėjiškoms programoms.

„Daugiau nei pusė iš 15 stebimų grėsmių veikėjų, naudojusių ISO failus [2021 m. spalio–2022 m. birželio mėn.], pradėjo juos naudoti kampanijose po 2022 m. sausio mėn.“, – pabrėžė Proofpoint.

Siekdamas sustiprinti jūsų gynybą nuo šių grėsmės veikėjų taktikos pokyčių, Singhas siūlo žmonėms saugotis nepageidaujamų el. laiškų. Jis taip pat įspėja žmones nespausti nuorodų ir atidaryti priedų, nebent jie neabejotinai įsitikinę, kad šie failai yra saugūs.

„Nepasitikėkite jokiais šaltiniais, nebent tikitės pranešimo su priedu“, – pakartojo Singhas. „Pasitikėkite, bet patikrinkite, pavyzdžiui, prieš [atidarydami priedą] paskambinkite kontaktui, kad sužinotumėte, ar tai tikrai svarbus el. laiškas nuo jūsų draugo, ar kenkėjiškas el. laiškas iš jo pažeistų paskyrų.