- Η απόφαση της Microsoft να αποκλείσει τις μακροεντολές θα στερήσει από τους φορείς απειλών αυτό το δημοφιλές μέσο για τη διανομή κακόβουλου λογισμικού.
- Ωστόσο, οι ερευνητές σημειώνουν ότι οι εγκληματίες του κυβερνοχώρου έχουν ήδη αλλάξει θέσεις και έχουν περιορίσει σημαντικά τη χρήση μακροεντολών σε πρόσφατες καμπάνιες κακόβουλου λογισμικού.
- Ο αποκλεισμός των μακροεντολών είναι ένα βήμα προς τη σωστή κατεύθυνση, αλλά στο τέλος της ημέρας, οι άνθρωποι πρέπει να είναι πιο προσεκτικοί για να αποφύγουν τη μόλυνση, προτείνουν ειδικοί.
Ed Hardie / Unsplash.
Ενώ η Microsoft πήρε τη δική της γλυκιά ώρα αποφασίζοντας να αποκλείσει τις μακροεντολές από προεπιλογή στο Microsoft Office, οι φορείς απειλών έσπευσαν να αντιμετωπίσουν αυτόν τον περιορισμό και να επινοήσουν νέους φορείς επίθεσης. Σύμφωνα με νέα έρευνα από τον προμηθευτή ασφαλείας Proofpoint, οι μακροεντολές δεν είναι πλέον το αγαπημένο μέσο διανομής κακόβουλου λογισμικού. Η χρήση κοινών μακροεντολών μειώθηκε κατά περίπου 66% από τον Οκτώβριο του 2021 έως τον Ιούνιο του 2022. Από την άλλη πλευρά, η χρήση αρχείων ISO (εικόνα δίσκου) σημείωσε αύξηση άνω του 150%, ενώ η χρήση του LNK (Συντόμευση αρχείου των Windows) Τα αρχεία αυξήθηκαν κατά 1.675% στο ίδιο χρονικό διάστημα. Αυτοί οι τύποι αρχείων μπορούν να παρακάμψουν τις προστασίες αποκλεισμού μακροεντολών της Microsoft. «Οι φορείς απειλών που απομακρύνονται από την απευθείας διανομή συνημμένων που βασίζονται σε μακροεντολές στο email αντιπροσωπεύουν μια σημαντική αλλαγή στο τοπίο των απειλών», δήλωσε ο Sherrod DeGrippo, Αντιπρόεδρος, Έρευνα και Ανίχνευση Απειλών στο Proofpoint, σε δελτίο τύπου. «Οι φορείς απειλών υιοθετούν τώρα νέες τακτικές για την παροχή κακόβουλου λογισμικού και η αυξημένη χρήση αρχείων όπως ISO, LNK και RAR αναμένεται να συνεχιστεί».
Moving With the Times
Σε ανταλλαγή email με το Lifewire, ο Harman Singh, Διευθυντής στον πάροχο υπηρεσιών κυβερνοασφάλειας Cyphere, περιέγραψε τις μακροεντολές ως μικρά προγράμματα που μπορούν να χρησιμοποιηθούν για την αυτοματοποίηση εργασιών στο Microsoft Office, με τις μακροεντολές XL4 και VBA να είναι οι πιο συχνά χρησιμοποιούμενες μακροεντολές από χρήστες του Office. Από την σκοπιά του εγκλήματος στον κυβερνοχώρο, ο Singh είπε ότι οι φορείς απειλών μπορούν να χρησιμοποιήσουν μακροεντολές για ορισμένες πολύ άσχημες εκστρατείες επιθέσεων. Για παράδειγμα, οι μακροεντολές μπορούν να εκτελέσουν κακόβουλες γραμμές κώδικα στον υπολογιστή ενός θύματος με τα ίδια δικαιώματα με το άτομο που είναι συνδεδεμένο. Οι φορείς απειλών μπορούν να κάνουν κατάχρηση αυτής της πρόσβασης για να εκμεταλλευτούν δεδομένα από έναν υπολογιστή που έχει παραβιαστεί ή ακόμη και να αρπάξουν επιπλέον κακόβουλο περιεχόμενο από τους διακομιστές του κακόβουλου λογισμικού για να εισαγάγουν ακόμη πιο επιζήμιο κακόβουλο λογισμικό. Ωστόσο, ο Singh έσπευσε να προσθέσει ότι το Office δεν είναι ο μόνος τρόπος μόλυνσης συστημάτων υπολογιστών, αλλά «είναι ένας από τους πιο δημοφιλείς [targets] λόγω της χρήσης των εγγράφων του Office από σχεδόν όλους στο Διαδίκτυο.» Για να κυριαρχήσει στην απειλή, η Microsoft άρχισε να προσθέτει ετικέτες σε ορισμένα έγγραφα από μη αξιόπιστες τοποθεσίες, όπως το διαδίκτυο, με το χαρακτηριστικό Mark of the Web (MOTW), μια συμβολοσειρά κώδικα που προσδιορίζει ενεργοποιεί χαρακτηριστικά ασφαλείας. Στην έρευνά της, η Proofpoint ισχυρίζεται ότι η μείωση της χρήσης των μακροεντολών είναι μια άμεση απάντηση στην απόφαση της Microsoft να επισημάνει το χαρακτηριστικό MOTW σε αρχεία. Ο Singh δεν εκπλήσσεται. Εξήγησε ότι τα συμπιεσμένα αρχεία όπως τα αρχεία ISO και RAR δεν «Δεν βασίζονται στο Office και μπορούν να εκτελέσουν κακόβουλο κώδικα μόνοι τους. «Είναι προφανές ότι η αλλαγή τακτικής αποτελεί μέρος της στρατηγικής των εγκληματιών του κυβερνοχώρου για να διασφαλιστεί ότι θα καταβάλουν τις προσπάθειές τους στην καλύτερη μέθοδο επίθεσης που έχει τη μεγαλύτερη πιθανότητα [infecting people].»
Περιέχει κακόβουλο λογισμικό
Η ενσωμάτωση κακόβουλου λογισμικού σε συμπιεσμένα αρχεία όπως τα αρχεία ISO και RAR βοηθά επίσης στην αποφυγή τεχνικών ανίχνευσης που εστιάζουν στην ανάλυση της δομής ή της μορφής των αρχείων, εξήγησε ο Singh. «Για παράδειγμα, πολλές ανιχνεύσεις για αρχεία ISO και RAR βασίζονται σε υπογραφές αρχείων, οι οποίες μπορούν εύκολα να αφαιρεθούν με τη συμπίεση ενός αρχείου ISO ή RAR με άλλη μέθοδο συμπίεσης.»
Σύμφωνα με το Proofpoint, όπως και οι κακόβουλες μακροεντολές πριν από αυτά, το πιο δημοφιλές μέσο μεταφοράς αυτών των αρχείων με κακόβουλο λογισμικό είναι μέσω email. Η έρευνα της Proofpoint βασίζεται σε δραστηριότητες παρακολούθησης διαφόρων διαβόητων παραγόντων απειλών. Παρατήρησε τη χρήση των νέων μηχανισμών αρχικής πρόσβασης που χρησιμοποιούνται από ομάδες που διανέμουν το Bumblebee και το κακόβουλο λογισμικό Emotet, καθώς και από αρκετούς άλλους εγκληματίες στον κυβερνοχώρο, για όλα τα είδη κακόβουλου λογισμικού. «Περισσότεροι από τους μισούς από τους 15 παράγοντες απειλών που παρακολουθήθηκαν και χρησιμοποιούσαν αρχεία ISO [between October 2021 and June 2022] άρχισε να τα χρησιμοποιεί σε καμπάνιες μετά τον Ιανουάριο του 2022″, τόνισε το Proofpoint. Για να στηρίξετε την άμυνά σας ενάντια σε αυτές τις αλλαγές στην τακτική από τους παράγοντες απειλών, ο Singh προτείνει στους ανθρώπους να είναι προσεκτικοί με ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Προειδοποιεί επίσης τους ανθρώπους να μην κάνουν κλικ σε συνδέσμους και να ανοίξουν συνημμένα εκτός αν είναι βέβαιοι χωρίς αμφιβολία ότι αυτά τα αρχεία είναι ασφαλή. «Μην εμπιστεύεστε καμία πηγή εκτός αν περιμένετε ένα μήνυμα με συνημμένο», επανέλαβε ο Singh. «Εμπιστευτείτε, αλλά επαληθεύστε, για παράδειγμα, καλέστε την επαφή πριν [opening an attachment] για να δείτε αν είναι πραγματικά ένα σημαντικό email από τον φίλο σας ή ένα κακόβουλο από τους παραβιασμένους λογαριασμούς του.»