Sleutel wegneemetes
- Microsoft se besluit om makro's te blokkeer sal bedreiging-akteurs beroof van hierdie gewilde manier om wanware te versprei.
- Navorsers neem egter kennis dat kubermisdadigers reeds van aanpak verander het en die gebruik van makro's in onlangse wanwareveldtogte aansienlik verminder het.
- Om makro's te blokkeer is 'n stap in die regte rigting, maar op die ou end moet mense meer waaksaam wees om nie besmet te raak nie, stel kenners voor.
Terwyl Microsoft sy eie lekker tyd geneem het om te besluit om makro's by verstek in Microsoft Office te blokkeer, was bedreigingsakteurs vinnig om hierdie beperking te omseil en nuwe aanvalsvektore te bedink.
Volgens nuwe navorsing deur sekuriteitsverskaffer Proofpoint, is makro's nie meer die gunsteling manier om wanware te versprei nie. Die gebruik van algemene makro's het tussen Oktober 2021 en Junie 2022 met ongeveer 66% afgeneem. Aan die ander kant het die gebruik van ISO-lêers ('n skyfbeeld) 'n toename van meer as 150% geregistreer, terwyl die gebruik van LNK (Windows File Shortcut) lêers het 'n verbysterende 1, 675% in dieselfde tydraamwerk toegeneem. Hierdie lêertipes kan Microsoft se makroblokkeringsbeskermings omseil.
"Bedreigingsakteurs wat wegdraai van die direkte verspreiding van makro-gebaseerde aanhangsels in e-pos verteenwoordig 'n beduidende verskuiwing in die bedreigingslandskap," het Sherrod DeGrippo, visepresident, bedreigingsnavorsing en -opsporing by Proofpoint, in 'n persverklaring gesê. "Bedreigingsakteurs neem nou nuwe taktieke aan om wanware te lewer, en die verhoogde gebruik van lêers soos ISO, LNK en RAR sal na verwagting voortduur."
Moving With the Times
In 'n e-posuitruiling met Lifewire het Harman Singh, direkteur by die kuberveiligheidsdiensverskaffer Cyphere, makro's beskryf as klein programme wat gebruik kan word om take in Microsoft Office te outomatiseer, met XL4- en VBA-makro's wat die makro's wat die meeste gebruik word deur Kantoorgebruikers.
Vanuit 'n kubermisdaadperspektief het Singh gesê dat bedreigingsakteurs makro's kan gebruik vir 'n paar taamlike nare aanvalsveldtogte. Makro's kan byvoorbeeld kwaadwillige reëls kode op 'n slagoffer se rekenaar uitvoer met dieselfde voorregte as die persoon wat aangemeld is. Bedreigingsakteurs kan hierdie toegang misbruik om data van 'n gekompromitteerde rekenaar te eksfiltreer of om selfs bykomende kwaadwillige inhoud van die wanware se bedieners te gryp om selfs meer skadelike wanware in te trek.
Singh was egter vinnig om by te voeg dat Office nie die enigste manier is om rekenaarstelsels te besmet nie, maar "dit is een van die gewildste [teikens] as gevolg van die gebruik van Office-dokumente deur byna almal op die internet."
Om in die bedreiging te heers, het Microsoft sommige dokumente van onbetroubare liggings, soos die internet, begin merk met die Mark of the Web (MOTW)-kenmerk, 'n string kode wat aandui wat sekuriteitskenmerke aandui.
In hul navorsing beweer Proofpoint die afname in die gebruik van makro's is 'n direkte reaksie op Microsoft se besluit om die MOTW-kenmerk by lêers te merk.
Singh is nie verbaas nie. Hy het verduidelik dat saamgeperste argiewe soos ISO- en RAR-lêers nie op Office staatmaak nie en kwaadwillige kode op hul eie kan laat loop. “Dit is duidelik dat die verandering van taktiek deel is van kubermisdadigers se strategie om te verseker dat hulle hul pogings aanwend op die beste aanvalsmetode wat die grootste waarskynlikheid het om [mense te besmet].”
Bevat wanware
Die inbedding van wanware in saamgeperste lêers soos ISO- en RAR-lêers help ook om opsporingstegnieke te ontduik wat daarop fokus om die struktuur of formaat van lêers te ontleed, het Singh verduidelik. "Byvoorbeeld, baie bespeurings vir ISO- en RAR-lêers is gebaseer op lêerhandtekeninge, wat maklik verwyder kan word deur 'n ISO- of RAR-lêer saam te komprimeer met 'n ander kompressiemetode."
Volgens Proofpoint, net soos die kwaadwillige makro's voor hulle, is die gewildste manier om hierdie wanware-belaaide argiewe te vervoer deur e-pos.
Proofpoint se navorsing is gebaseer op die opsporing van aktiwiteite van verskeie berugte bedreigingsakteurs. Dit het die gebruik waargeneem van die nuwe aanvanklike toegangsmeganismes wat gebruik word deur groepe wat Bumblebee versprei, en die Emotet-wanware, sowel as deur verskeie ander kubermisdadigers, vir alle soorte wanware.
"Meer as die helfte van die 15 nagespoorde bedreiging-akteurs wat ISO-lêers gebruik het [tussen Oktober 2021 en Junie 2022] het dit ná Januarie 2022 in veldtogte begin gebruik," het Proofpoint uitgelig.
Om jou verdediging teen hierdie veranderinge in die taktiek deur die bedreigingsakteurs te versterk, stel Singh voor dat mense versigtig moet wees vir ongevraagde e-posse. Hy waarsku ook mense daarteen om skakels te klik en aanhegsels oop te maak, tensy hulle sonder twyfel vol vertroue is dat hierdie lêers veilig is.
"Moenie enige bronne vertrou nie, tensy jy 'n boodskap met 'n aanhangsel verwag," het Singh herhaal. "Vertrou, maar verifieer, byvoorbeeld, bel die kontak voor [die oopmaak van 'n aanhangsel] om te sien of dit regtig 'n belangrike e-pos van jou vriend of 'n kwaadwillige een van hul gekompromitteerde rekeninge is."
