A fenyegető szereplők a Microsoft makroblokkolása körül forognak az Office-ban

Kutatók megállapították, hogy a fenyegető szereplők megtalálják a módját a Microsoft alapértelmezett makrók blokkolásának az Office programcsomagjában, és alternatív fájlokat használnak a rosszindulatú rakományok tárolására most, amikor a fenyegetésszállítás elsődleges csatornája megszűnik.

A Proofpoint új adatai szerint 66 októbere és 2021 júniusa között mintegy 2022 százalékkal csökkent a makrókat támogató csatolmányok használata a fenyegetés szereplői által. Egy blogbejegyzésben Csütörtök. A csökkenés kezdete egybeesett a Microsoft azon tervével, hogy az XL4 makrókat alapértelmezés szerint blokkolja az Excel-felhasználók számára, ezt követte a VBA makrók alapértelmezett blokkolása az Office programcsomagban ebben az évben.

Selena Larson, Daniel Blackford és a Proofpoint Threat Research Team kutatói a Proofpoint Threat Research Team kutatói szerint ez idáig nem tántorítanak el a lépéstől, amely „a közelmúlt történetének egyik legnagyobb e-mail-fenyegetettségi környezetében bekövetkezett változást jelenti” egy bejegyzés.

Bár a kiberbűnözők egyelőre továbbra is makrókat alkalmaznak az adathalász kampányokban használt rosszindulatú dokumentumokban, a Microsoft védelmi stratégiája körül is elkezdtek fordulni más fájltípusok felé, mint a rosszindulatú programok hordozója – nevezetesen a konténerfájlok, például ISO és RAR mellékletek, valamint Windows Shortcut (LNK) fájlok, mondták.

Valójában ugyanabban a nyolc hónapos időszakban, amikor a makrókat tartalmazó dokumentumok használata csökkent, az ISO-, RAR- és LNK-mellékleteket tartalmazó konténerfájlokat használó rosszindulatú kampányok száma közel 175 százalékkal nőtt – állapították meg a kutatók.

„Valószínűleg a fenyegetés szereplői továbbra is konténerfájl-formátumokat fognak használni rosszindulatú programok továbbítására, miközben kevésbé támaszkodnak a makróképes mellékletekre” – jegyezték meg.

Makrók Nincs több?

A makrók, amelyeket az Office-ban gyakran használt feladatok automatizálására használnak, a legtöbbek közé tartoznak népszerű módok hogy legalább a rosszindulatú e-mailek mellékleteiben rosszindulatú programokat szállítson egy évtized jobbik része, mivel ezek egy egyszerű, egyetlen egérkattintással engedélyezhetők a felhasználó részéről, amikor a rendszer kéri.

A makrók alapértelmezés szerint régóta le vannak tiltva az Office-ban, bár a felhasználók mindig engedélyezhették őket – ami lehetővé tette a fenyegetések felfegyverzését mind a VBA-makrókat, amelyek automatikusan futtathatnak rosszindulatú tartalmat, ha a makrók engedélyezve vannak az Office-alkalmazásokban, valamint az Excel-specifikus XL4-makrókat. . Általában a színészek használják szociálisan megtervezett adathalász kampányok hogy meggyőzze az áldozatokat a makrók engedélyezésének sürgősségéről, hogy megnyithassák azokat a mellékleteket, amelyekről nem tudnak rosszindulatú fájlmellékleteket.

Noha a Microsoft lépése a makrók teljes blokkolására eddig nem tántorította el a fenyegető szereplőket attól, hogy azokat teljes mértékben használják, a Proofpoint kutatói szerint ez a figyelemre méltó elmozdulás más taktikák felé sarkallt.

Ennek az eltolódásnak a kulcsa az a taktika, amellyel megkerülik a Microsoft VBA-makrókat blokkoló módszerét a Mark of the Web (MOTW) attribútum alapján, amely megmutatja, hogy a Zone.Identifier néven ismert fájl az internetről származik-e.

„A Microsoft-alkalmazások hozzáadják ezt bizonyos dokumentumokhoz, amikor letöltik őket az internetről” – írták. "A MOTW azonban megkerülhető konténerfájlformátumok használatával."

Valóban, az Outflank IT-biztonsági cég kényelmesen részletes A Proofpoint szerint számos lehetőség a támadásszimulációra szakosodott etikus hackerek számára – úgynevezett „vörös csapattagok” – a MOTW mechanizmusok megkerülésére. Úgy tűnik, hogy a posztot nem hagyták figyelmen kívül a fenyegetés szereplői, mivel ők is elkezdték alkalmazni ezt a taktikát, mondták a kutatók.

Fájlformátum Switcheroo

A makrók blokkolásának megkerülésére a támadók egyre gyakrabban használnak olyan fájlformátumokat, mint az ISO (.iso), RAR (.rar), ZIP (.zip) és IMG (.img) fájlok a makróképes dokumentumok küldésére. Ennek az az oka, hogy bár maguk a fájlok rendelkeznek a MOTW attribútummal, a benne lévő dokumentum, például egy makró-kompatibilis táblázat, nem – jegyezték meg a kutatók.

"A dokumentum kibontásakor a felhasználónak továbbra is engedélyeznie kell a makrókat a rosszindulatú kód automatikus végrehajtásához, de a fájlrendszer nem fogja azonosítani a dokumentumot a webről származóként" - írták a bejegyzésben.

Ezenkívül a fenyegetés szereplői konténerfájlokat használhatnak a hasznos terhek közvetlen elosztására további tartalom hozzáadásával, például LNK-k, DLL, vagy olyan futtatható (.exe) fájlok, amelyek rosszindulatú rakomány végrehajtására használhatók, mondták a kutatók.

A Proofpoint enyhe növekedést tapasztalt az XLL fájlokkal – egy dinamikus hivatkozási könyvtár (DLL) fájlokkal az Excelhez – a rosszindulatú kampányokban is, bár nem olyan jelentős növekedést, mint az ISO, RAR és LNK fájlok használata. , jegyezték meg.