Võtmed kaasavõtmiseks
- Microsofti otsus blokeerida makrod röövib ohustajatelt selle populaarse pahavara levitamise vahendi.
- Siiski märgivad teadlased, et küberkurjategijad on viimaste pahavarakampaaniate käigus juba võtteid muutnud ja makrode kasutamist märkimisväärselt vähendanud.
- Makrode blokeerimine on samm õiges suunas, kuid päeva lõpuks peavad inimesed olema nakatumise vältimiseks valvsamad, soovitavad eksperdid.
Kuigi Microsoft võttis omal nahal aega, kui otsustas Microsoft Office'is makrod vaikimisi blokeerida, suutsid ohutegijad sellest piirangust kiiresti mööda hiilida ja uusi rünnakute vektoreid välja töötada.
Turbemüüja Proofpointi uute uuringute kohaselt ei ole makrod enam pahavara levitamise lemmikvahend. Levinud makrode kasutamine vähenes 2021. aasta oktoobrist 2022. aasta juunini ligikaudu 66%. Teisest küljest kasvas ISO-failide (plaadi kujutise) kasutamine üle 150%, samas kui LNK (Windows File Shortcut) kasutamine. failide arv kasvas sama aja jooksul hämmastav alt 1675%. Need failitüübid võivad Microsofti makroblokeerimiskaitsetest mööda minna.
"Ohutegijad, kes loobuvad makropõhiste manuste otsesest levitamisest meilides, kujutavad endast olulist nihet ohumaastikul," ütles Proofpointi ohtude uurimise ja tuvastamise osakonna asepresident Sherrod DeGrippo pressiteates. "Ohutegijad võtavad nüüd kasutusele uued taktikad pahavara edastamiseks ning eeldatavasti jätkub selliste failide nagu ISO, LNK ja RAR kasutamine."
Liikumine ajaga kaasas
Meilivahetuses Lifewire'iga kirjeldas küberturbeteenuse pakkuja Cyphere'i direktor Harman Singh makrosid kui väikeseid programme, mida saab kasutada Microsoft Office'i toimingute automatiseerimiseks, kusjuures XL4 ja VBA makrod on kõige sagedamini kasutatavad makrod. Kontori kasutajad.
Küberkuritegevuse vaatenurgast ütles Singh, et ohus osalejad saavad makrosid kasutada mõne päris vastiku rünnakukampaania jaoks. Näiteks võivad makrod käivitada ohvri arvutis pahatahtlikke koodiridu samade õigustega nagu sisseloginud isik. Ohutegijad võivad seda juurdepääsu kuritarvitada andmete väljafiltreerimiseks ohustatud arvutist või isegi pahavara serveritest täiendava pahatahtliku sisu hankimiseks, et tõmmata veelgi kahjustavamat pahavara.
Singh lisas siiski, et Office ei ole ainus viis arvutisüsteemide nakatamiseks, kuid "see on üks populaarsemaid [sihtmärke], kuna peaaegu kõik Internetis kasutavad Office'i dokumente."
Ohu valitsemiseks alustas Microsoft mõningate ebausaldusväärsete asukohtade, näiteks Interneti, dokumentide märgistamist atribuudiga Mark of the Web (MOTW), koodijadaga, mis määrab turvafunktsioonide käivitamise.
Proofpoint väidab oma uurimuses, et makrode kasutamise vähenemine on otsene vastus Microsofti otsusele MOTW atribuut failidele sildistada.
Singh ei ole üllatunud. Ta selgitas, et tihendatud arhiivid, nagu ISO- ja RAR-failid, ei tugine Office'ile ja võivad ise käivitada pahatahtlikku koodi. "On ilmselge, et taktika muutmine on osa küberkurjategijate strateegiast, mille eesmärk on tagada, et nad püüavad leida parimat ründemeetodit, millel on suurim tõenäosus [inimesi nakatada]."
Sisaldab pahavara
Pahavara manustamine tihendatud failidesse, nagu ISO- ja RAR-failid, aitab samuti vältida tuvastamistehnikaid, mis keskenduvad failide struktuuri või vormingu analüüsimisele, selgitas Singh. "Näiteks põhinevad paljud ISO- ja RAR-failide tuvastamised failisignatuuridel, mida saab hõlpsasti eemaldada, tihendades ISO- või RAR-faili mõne muu tihendusmeetodiga."
Proofpointi andmetel, nagu ka pahatahtlikud makrod enne neid, on kõige populaarsem viis nende pahavaraga koormatud arhiivide edastamiseks meili teel.
Proofpointi uurimus põhineb erinevate kurikuulsate ohus osalejate tegevuste jälgimisel. Selles täheldati uute esialgsete juurdepääsumehhanismide kasutamist, mida kasutavad Bumblebee ja Emoteti pahavara levitavad rühmad ning mitmed teised küberkurjategijad igasuguse pahavara jaoks.
"Enam kui pooled 15 jälgitavast ohutegijast, kes kasutasid ISO-faile [ajavahemikus 2021. aasta oktoobrist 2022. aasta juunini], hakkasid neid kampaaniates kasutama pärast 2022. aasta jaanuari," rõhutas Proofpoint.
Selleks, et toetada oma kaitset nende taktikamuutuste vastu, mida ohus osalejad teevad, soovitab Singh inimestel olla ettevaatlik soovimatute meilide suhtes. Samuti hoiatab ta inimesi linkidel klõpsamise ja manuste avamise eest, välja arvatud juhul, kui nad on kindlad, et need failid on ohutud.
"Ärge usaldage ühtegi allikat, välja arvatud juhul, kui ootate manusega sõnumit," kordas Singh. "Usaldage, kuid kontrollige näiteks enne [manuse avamist] kontaktile helistamist, et näha, kas see on tõesti oluline e-kiri teie sõbr alt või pahatahtlik kiri tema ohustatud kontodelt."
