Pagrindiniai pasiėmimai
- „Microsoft“sprendimas blokuoti makrokomandas atims iš grėsmių subjektų šią populiarią kenkėjiškų programų platinimo priemonę.
- Tačiau mokslininkai pastebi, kad kibernetiniai nusik altėliai jau pakeitė savo taktiką ir gerokai sumažino makrokomandų naudojimą pastarosiose kenkėjiškų programų kampanijose.
- Makrokomandų blokavimas yra žingsnis teisinga kryptimi, bet dienos pabaigoje žmonės turi būti budresni, kad neužsikrėstų, rekomenduoja ekspertai.
Nors „Microsoft“neskubėjo nuspręsti blokuoti makrokomandas pagal numatytuosius nustatymus programoje „Microsoft Office“, grėsmės veikėjai greitai aplenkė šį apribojimą ir sukūrė naujus atakos vektorius.
Remiantis naujais saugos tiekėjo „Proofpoint“tyrimais, makrokomandos nebėra mėgstamiausia kenkėjiškų programų platinimo priemonė. Nuo 2021 m. spalio mėn. iki 2022 m. birželio mėn. įprastų makrokomandų naudojimas sumažėjo maždaug 66 %. Kita vertus, ISO failų (disko atvaizdo) naudojimas padidėjo daugiau nei 150 %, o LNK (Windows File Shortcut) naudojimas. failų skaičius per tą patį laikotarpį padidėjo stulbinančiai 1 675 %. Šie failų tipai gali apeiti „Microsoft“makrokomandų blokavimo apsaugą.
„Grėsmės veikėjai atsisako tiesioginio makrokomandomis pagrįstų priedų platinimo el. paštu, reiškia reikšmingą grėsmės kraštovaizdžio pokytį“, – pranešime spaudai sakė Sherrodas DeGrippo, „Proofpoint“grėsmių tyrimų ir aptikimo skyriaus viceprezidentas. „Grėsmės veikėjai dabar imasi naujų kenkėjiškų programų pristatymo taktikos, todėl tikimasi, kad ir toliau bus dažniau naudojami tokie failai kaip ISO, LNK ir RAR.“
Judėk su laiku
Kibernetinės saugos paslaugų teikėjo Cyphere direktorius Harmanas Singhas, bendraudamas el. paštu su Lifewire, makrokomandas apibūdino kaip mažas programas, kurios gali būti naudojamos automatizuoti Microsoft Office užduotis, o XL4 ir VBA makrokomandos yra dažniausiai naudojamos makrokomandos. Biuro naudotojai.
Žvelgiant iš elektroninių nusik altimų perspektyvos, Singhas sakė, kad grėsmės veikėjai gali naudoti makrokomandas kai kurioms gana bjaurioms atakų kampanijoms. Pavyzdžiui, makrokomandos gali vykdyti kenkėjiškas kodo eilutes aukos kompiuteryje su tomis pačiomis privilegijomis kaip ir prisijungęs asmuo. Grėsmių subjektai gali piktnaudžiauti šia prieiga, kad išfiltruotų duomenis iš pažeisto kompiuterio arba net paimtų papildomą kenkėjišką turinį iš kenkėjiškų programų serverių, kad pritrauktų dar daugiau žalingų kenkėjiškų programų.
Tačiau Singhas greitai pridūrė, kad „Office“nėra vienintelis būdas užkrėsti kompiuterių sistemas, bet „tai vienas populiariausių [tikslinių], nes beveik visi internete naudojasi Office dokumentais."
Siekdama valdyti grėsmę, „Microsoft“pradėjo žymėti kai kuriuos dokumentus iš nepatikimų vietų, pvz., interneto, naudodama atributą „Mark of the Web“(MOTW) – kodo eilutę, kuri nurodo saugos funkcijas.
Savo tyrime „Proofpoint“teigia, kad makrokomandų naudojimo sumažėjimas yra tiesioginis atsakas į „Microsoft“sprendimą priskirti failams MOTW atributą.
Singhas nesistebi. Jis paaiškino, kad suspausti archyvai, tokie kaip ISO ir RAR failai, nepasikliauja „Office“ir gali patys paleisti kenkėjišką kodą. „Akivaizdu, kad taktikos keitimas yra kibernetinių nusik altėlių strategijos dalis, kuria siekiama užtikrinti, kad jie stengtųsi ieškoti geriausio atakos metodo, kuris turi didžiausią tikimybę [užkrėsti žmones].“
Su kenkėjiška programa
Kenkėjiškų programų įterpimas į suglaudintus failus, pvz., ISO ir RAR failus, taip pat padeda išvengti aptikimo metodų, kurių pagrindinis dėmesys skiriamas failų struktūros ar formato analizei, paaiškino Singhas. "Pavyzdžiui, daugelis ISO ir RAR failų aptikimų yra pagrįsti failų parašais, kuriuos galima lengvai pašalinti suglaudinant ISO arba RAR failą kitu glaudinimo būdu."
Pagal „Proofpoint“, kaip ir prieš jas naudotos kenkėjiškos makrokomandos, populiariausia šių kenkėjiškų programų apkrautų archyvų siuntimo priemonė yra el. paštas.
Proofpoint tyrimas grindžiamas įvairių žinomų grėsmės veikėjų stebėjimu. Ji stebėjo, kaip nauji pradiniai prieigos mechanizmai, kuriuos naudoja grupės, platinančios „Bumblebee“ir „Emotet“kenkėjiškas programas, taip pat keli kiti kibernetiniai nusik altėliai visų rūšių kenkėjiškoms programoms.
„Daugiau nei pusė iš 15 stebimų grėsmių subjektų, naudojusių ISO failus [2021 m. spalio mėn.–2022 m. birželio mėn.], pradėjo juos naudoti kampanijose po 2022 m. sausio mėn.“, – pabrėžė Proofpoint.
Siekdamas sustiprinti savo gynybą nuo šių grėsmės veikėjų taktikos pakeitimų, Singhas siūlo žmonėms saugotis nepageidaujamų el. laiškų. Jis taip pat įspėja žmones nespausti nuorodų ir atidaryti priedų, nebent jie neabejotinai įsitikinę, kad šie failai yra saugūs.
„Nepasitikėkite jokiais š altiniais, nebent tikitės pranešimo su priedu“, – pakartojo Singhas. „Pasitikėkite, bet patikrinkite, pavyzdžiui, prieš [atidarydami priedą] paskambinkite kontaktui, kad sužinotumėte, ar tai tikrai svarbus el. laiškas nuo jūsų draugo, ar kenkėjiškas el. laiškas iš jo pažeistų paskyrų."