كيف تكيف مجرمو الإنترنت مع Microsoft Blocking Macros افتراضيًا

منذ أن قررت Microsoft حظر وحدات ماكرو Office افتراضيًا ، أُجبرت الجهات الفاعلة في التهديد على التطور ، واعتماد طرق جديدة لتقديم البرامج الضارة بمعدل غير مسبوق.

لمدة طويلة، الجهات الفاعلة التهديد وحدات ماكرو Microsoft Office الضارة للحصول على خطاف داخل أجهزة الكمبيوتر المستهدفة. ولهذا السبب ، في عام 2022 ، مايكروسوفت أخيرًا - وإن كان بشكل غير متساو - بدأ في حظر وحدات الماكرو بشكل افتراضي على الملفات التي تم تنزيلها من الإنترنت.

الآن ، بدون لعبتهم المفضلة ، يتعين على المتسللين ابتكار طرق جديدة للحصول على برامجهم الضارة أينما يريدون.

تقول سيلينا لارسون ، مؤلفة كتاب تقرير جديد عن الاتجاه. "الطاقة التي ينفقونها لإنشاء سلاسل هجوم جديدة فريدة حقًا" ، وسيتعين على المدافعين عبر الإنترنت مواكبة ذلك.

كيف تكيف المهاجمون

نادرًا ما أحدث مثل هذا التغيير البسيط في السياسة فرقًا كبيرًا في مشهد الجرائم الإلكترونية. في عام 2021 ، وهو العام الذي أعلنت فيه شركة Microsoft ، تتبع باحثون من Proofpoint أكثر من ألف حملة ضارة باستخدام وحدات الماكرو.

في عام 2022 - العام الذي بدأ فيه التغيير في السياسة - تراجعت الهجمات التي تدعم الماكرو بنسبة 66٪. حتى الآن في عام 2023 ، اختفت وحدات الماكرو تقريبًا في الهجمات الإلكترونية.

في مكانهم ، يحتاج المتسللون إلى حل آخر. ظهرت ملفات الحاويات كبديل شائع في العام الماضي ، مما سمح للمهاجمين بتجاوز علامة "علامة الويب" الخاصة بشركة Microsoft للملفات التي تم تنزيلها من الإنترنت. بمجرد مايكروسوفت تناول هذا الحل، ومع ذلك ، ذهبت هذه الملفات في طريق الماكرو.

منذ ذلك الحين ، كان المتسللون يبحثون عن أوزة ذهبية جديدة.

على سبيل المثال ، في H2 2022 ، لاحظ باحثو Proofpoint ارتفاعًا ملحوظًا في تهريب HTML - تمرير برنامج نصي مشفر عبر مرفق HTML. في عام 2023 ، أثبتت ملفات PDF الجيدة أنها تنسيق ملف شائع للمهاجمين. وفي ديسمبر الماضي ، بدأت بعض الحملات الخبيثة في استخدام تطبيق OneNote لتدوين الملاحظات من Microsoft كوسيلة لإيصال البرامج الضارة الخاصة بهم. بحلول شهر كانون الثاني (يناير) ، تراكمت العشرات من الجهات الفاعلة في مجال التهديد على هذا الاتجاه ، وفي الأشهر الأخيرة ، استخدمت أكثر من 120 حملة OneNote.

ومع ذلك ، لا شيء عالق. يقول لارسون: "لم نر أي شيء له نفس النوع من المتانة مثل المرفق الذي يدعم الماكرو".

ماذا يعني هذا لفرق الأمن

يقول لارسون: "يتعين على المهاجمين أن يكونوا أكثر إبداعًا الآن ، مما يوفر المزيد من الفرص لهم للفشل أو ارتكاب الأخطاء".

ومع ذلك ، فإن إجبار مجرمي الإنترنت على الخروج من منطقة الراحة الخاصة بهم له تكلفة. "سرعة ومعدل ونطاق التغييرات التي يقومون بها - كل سلاسل الهجوم المختلفة التي يقومون بتجربتها - تبرز ،" كما تقول.

وهكذا ، سيتعين على المدافعين الإلكترونيين التحرك بسرعة متساوية لمواكبة ذلك. "علينا أن نكون استباقيين لتهديد سلوك الجهات الفاعلة والتوصل إلى اكتشافات وقواعد جديدة وما شابه ، لأن الجهات الفاعلة في التهديد تحاول طرقًا مختلفة لتجاوز الاكتشافات الحالية" ، كما تقول.

ستحتاج المنظمات أيضًا إلى مواكبة أحدث الاتجاهات. خذ تدريبات أمنية: "أعلم أنه في كثير من الأحيان ، يتم تدريب الأشخاص على المستندات المزودة بتقنية الماكرو. الآن عليك توعية المستخدمين بأساليب PDF الجديدة واستخدام أمثلة واقعية للتهديدات المحتملة لدمجها في التدريب الأمني ​​، ".

يقول لارسون: "ولكن من وجهة نظر أمنية شاملة وشاملة ، لا أعتقد أن هناك أي شيء يحتاج إلى تغيير جذري ، طالما أنك تضمن أن يكون المستخدمون على دراية". "مجرد أن تكون ، مثل ،" مرحبًا ، ابحث عن هذا النوع من الأشياء! "

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
• المصدر https://www.darkreading.com/application-security/how-malware-delivery-adapted-to-microsoft-blocking-macros-by-default