Blokovanie makier je iba prvým krokom pri porážke škodlivého softvéru
- Rozhodnutie spoločnosti Microsoft blokovať makrá okradne aktérov hrozieb o tento populárny prostriedok na distribúciu malvéru.
- Výskumníci však poznamenávajú, že kyberzločinci už zmenili taktiky a výrazne obmedzili používanie makier v nedávnych kampaniach proti malvéru.
- Blokovanie makier je krok správnym smerom, ale v konečnom dôsledku musia byť ľudia ostražití, aby sa nenakazili, naznačujú odborníci.
Kým Microsoft vzal si svoj sladký čas Keď sa aktéri hrozieb rozhodli predvolene blokovať makrá v balíku Microsoft Office, rýchlo obišli toto obmedzenie a navrhli nové vektory útokov.
Podľa nový výskum od dodávateľa zabezpečenia Proofpoint, makrá už nie sú obľúbeným prostriedkom distribúcie malvéru. Používanie bežných makier sa od októbra 2021 do júna 2022 znížilo približne o 66 %. Na druhej strane použitie ISO súbory (obraz disku) zaznamenal nárast o viac ako 150 %, zatiaľ čo používanie LNK (skratka súboru Windows). v rovnakom časovom rámci vzrástol o ohromujúcich 1 675 %. Tieto typy súborov môžu obísť ochranu blokovania makier od spoločnosti Microsoft.
„Odklon aktérov hrozieb od priamej distribúcie príloh založených na makrách v e-mailoch predstavuje významný posun v oblasti hrozieb,“ Sherrod DeGrippo, viceprezident pre výskum a detekciu hrozieb v spoločnosti Proofpoint, uviedol v tlačovej správe. "Hrozí aktéri teraz prijímajú nové taktiky na šírenie malvéru a očakáva sa, že zvýšené používanie súborov ako ISO, LNK a RAR bude pokračovať."
Pohyb s dobou
Pri výmene e-mailov so spoločnosťou Lifewire Harman Singh, riaditeľ v poskytovateľovi služieb kybernetickej bezpečnosti Cyphere, opísal makrá ako malé programy, ktoré možno použiť na automatizáciu úloh v balíku Microsoft Office, pričom makrá XL4 a VBA sú najčastejšie používané makrá používateľmi balíka Office.
Z hľadiska počítačovej kriminality Singh povedal, že aktéri hrozieb môžu použiť makrá na niektoré dosť škaredé útočné kampane. Makrá môžu napríklad spustiť škodlivé riadky kódu na počítači obete s rovnakými oprávneniami, aké má prihlásená osoba. Aktéri hrozieb môžu tento prístup zneužiť na exfiltráciu údajov z kompromitovaného počítača alebo dokonca na získanie ďalšieho škodlivého obsahu zo serverov škodlivého softvéru, aby stiahli ešte škodlivejší malvér.
Singh však rýchlo dodal, že Office nie je jediný spôsob, ako infikovať počítačové systémy, ale jeden z najpopulárnejších [cieľov] kvôli používaniu dokumentov balíka Office takmer každým na Internet."
Aby Microsoft ovládol hrozbu, začal označovať niektoré dokumenty z nedôveryhodných miest, ako je napr internet, s atribútom Mark of the Web (MOTW), reťazcom kódu, ktorý označuje spúšťače zabezpečenia Vlastnosti.
Vo svojom výskume Proofpoint tvrdí, že pokles používania makier je priamou odpoveďou na rozhodnutie Microsoftu označiť súbory atribútom MOTW.
Singh nie je prekvapený. Vysvetlil, že komprimované archívy, ako sú súbory ISO a RAR, sa nespoliehajú na Office a môžu samy spustiť škodlivý kód. "Je zrejmé, že zmena taktiky je súčasťou stratégie kyberzločincov, aby sa zabezpečilo, že vynaložia svoje úsilie na najlepšiu metódu útoku, ktorá má najvyššiu pravdepodobnosť [nakaziť ľudí]."
Obsahujúce malvér
Vkladanie malvéru do komprimovaných súborov, ako sú súbory ISO a RAR, tiež pomáha vyhnúť sa technikám detekcie, ktoré sa zameriavajú na analýzu štruktúry alebo formátu súborov, vysvetlil Singh. "Napríklad veľa detekcií pre súbory ISO a RAR je založených na podpisoch súborov, ktoré možno ľahko odstrániť komprimáciou súboru ISO alebo RAR inou metódou kompresie."
sarayut / Getty Images
Podľa Proofpointu, rovnako ako škodlivé makrá pred nimi, najpopulárnejším spôsobom prenosu týchto archívov s malvérom je e-mail.
Výskum spoločnosti Proofpoint je založený na sledovaní aktivít rôznych notoricky známych aktérov hrozieb. Pozorovalo používanie nových mechanizmov počiatočného prístupu, ktoré používajú skupiny distribuujúce malvér Bumblebee a Emotet, ako aj niekoľko ďalších kyberzločincov na všetky druhy škodlivého softvéru.
„Viac ako polovica z 15 sledovaných aktérov hrozieb, ktorí používali súbory ISO [medzi októbrom 2021 a júnom 2022], ich začala používať v kampaniach po januári 2022,“ zdôraznil Proofpoint.
Aby ste podporili svoju obranu proti týmto zmenám v taktike zo strany aktérov hrozieb, Singh navrhuje ľuďom, aby si dávali pozor na nevyžiadané e-maily. Tiež varuje ľudí pred klikaním na odkazy a otváraním príloh, pokiaľ si nie sú úplne istí, že tieto súbory sú bezpečné.
"Neverte žiadnym zdrojom, pokiaľ neočakávate správu s prílohou," zopakoval Singh. "Dôverujte, ale overte si, napríklad zavolajte kontaktu pred [otvorením prílohy], aby ste zistili, či ide skutočne o dôležitý e-mail od vášho priateľa alebo o škodlivý e-mail z ich napadnutých účtov.“