Негізгі ұсыныстар
- Microsoft-тың макростарды бұғаттау туралы шешімі зиянды бағдарламаларды таратуға арналған осы танымал құралдан қауіп төндіреді.
- Дегенмен, зерттеушілер киберқылмыскерлердің соңғы зиянды бағдарламалар науқандарында макростарды пайдалануды әлдеқашан өзгерткенін және айтарлықтай азайтқанын атап өтті.
- Макростарды бұғаттау - дұрыс бағыттағы қадам, бірақ күннің соңында адамдар жұқтырмас үшін сергек болуы керек, дейді мамандар.
Microsoft корпорациясы Microsoft Office бағдарламасында макростарды әдепкі бойынша бұғаттау туралы шешім қабылдағанда, қауіп төндіретін тұлғалар бұл шектеуді тез арада айналып өтіп, жаңа шабуыл векторларын ойлап тапты.
Қауіпсіздік провайдері Proofpoint жасаған жаңа зерттеулерге сәйкес, макростар енді зиянды бағдарламаны таратудың сүйікті құралы емес. Жалпы макростарды пайдалану 2021 жылдың қазаны мен 2022 жылдың маусымы аралығында шамамен 66%-ға төмендеді. Екінші жағынан, ISO файлдарын (диск кескіні) пайдалану 150%-дан астам өсті, ал LNK (Windows File Shortcut) пайдалану файлдар сол уақыт аралығында таңқаларлық 1,675%-ға өсті. Бұл файл түрлері Microsoft корпорациясының макросты блоктау қорғаныстарын айналып өте алады.
"Қауіпті субъектілердің электрондық поштадағы макро негізіндегі тіркемелерді тікелей таратудан бас тартуы қауіп ландшафтындағы елеулі өзгерістерді білдіреді", - деді Шеррод ДеГриппо, Proofpoint-тың қауіптерді зерттеу және анықтау вице-президенті. "Қауіпті субъектілер қазір зиянды бағдарламаны жеткізудің жаңа тактикасын қолдануда және ISO, LNK және RAR сияқты файлдарды пайдаланудың артуы жалғасады деп күтілуде."
Уақытпен жылжу
Lifewire компаниясымен электрондық хат алмасуда Cyphere киберқауіпсіздік қызмет провайдерінің директоры Харман Сингх макростарды Microsoft Office бағдарламасындағы тапсырмаларды автоматтандыру үшін пайдалануға болатын шағын бағдарламалар ретінде сипаттады, XL4 және VBA макростары ең жиі қолданылатын макростар болып табылады. Office пайдаланушылары.
Киберқылмыс тұрғысынан Сингх қауіп-қатер жасаушылар макростарды кейбір жағымсыз шабуылдар науқандары үшін пайдалана алады деді. Мысалы, макростар жәбірленушінің компьютерінде жүйеге кірген адаммен бірдей артықшылықтармен зиянды код жолдарын орындай алады. Қауіпті субъектілер бүлінген компьютерден деректерді эксфильтрациялау немесе тіпті одан да көп зиян келтіретін зиянды бағдарламаны тарту үшін зиянды бағдарлама серверлерінен қосымша зиянды мазмұнды алу үшін бұл рұқсатты теріс пайдалана алады.
Алайда, Сингх тез арада Office компьютерлік жүйелерді жұқтырудың жалғыз жолы емес, бірақ «бұл Интернетте барлығы дерлік Office құжаттарын пайдалануына байланысты ең танымал [мақсаттардың] бірі екенін айтты."
Қауіп-қатерге төтеп беру үшін Microsoft корпорациясы интернет сияқты сенімсіз орындардағы кейбір құжаттарды триггерлер қауіпсіздік мүмкіндіктерін белгілейтін код тізбегі Веб белгісі (MOTW) атрибуты арқылы белгілей бастады.
Өз зерттеулерінде Proofpoint макростарды пайдалануды азайту Microsoft корпорациясының MOTW атрибутын файлдарға белгілеу шешіміне тікелей жауап деп мәлімдейді.
Сингх таң қалмады. Ол ISO және RAR файлдары сияқты қысылған мұрағаттар Office бағдарламасына сенбейтінін және зиянды кодты өздігінен іске қоса алатынын түсіндірді. "Тактиканы өзгерту киберқылмыскерлердің [адамдарды жұқтырудың] ықтималдығы жоғары ең жақсы шабуыл әдісіне күш салуын қамтамасыз ету стратегиясының бөлігі екені анық."
Құрамында зиянды бағдарлама бар
Зиянды бағдарламаны ISO және RAR файлдары сияқты қысылған файлдарға ендіру сонымен қатар файлдардың құрылымын немесе пішімін талдауға бағытталған анықтау әдістерін болдырмауға көмектеседі, деп түсіндірді Сингх. "Мысалы, ISO және RAR файлдарының көптеген анықтаулары ISO немесе RAR файлын басқа қысу әдісімен қысу арқылы оңай жойылатын файл қолтаңбаларына негізделген."
Proofpoint мәліметтері бойынша, олардың алдындағы зиянды макростар сияқты, осы зиянды бағдарлама жүктелген мұрағаттарды тасымалдаудың ең танымал жолы - электрондық пошта.
Proofpoint зерттеулері әртүрлі атышулы қауіп субъектілерінің әрекеттерін қадағалауға негізделген. Ол Bumblebee және Emotet зиянды бағдарламаларын тарататын топтар, сондай-ақ бірнеше басқа киберқылмыскерлер пайдаланатын жаңа бастапқы кіру механизмдерін зиянды бағдарламалардың барлық түрлеріне пайдаланғаны байқалды.
"ISO файлдарын пайдаланған қадағаланатын 15 қауіп-қатердің жартысынан көбі [2021 жылдың қазаны мен 2022 жылдың маусымы аралығында] оларды 2022 жылдың қаңтарынан кейін науқандарда пайдалана бастады ", - деп атап өтті Proofpoint.
Қауіпті субъектілердің тактикадағы осы өзгерістерінен қорғанысыңызды нығайту үшін Сингх адамдарға қажетсіз электрондық хаттардан сақ болуды ұсынады. Ол сондай-ақ адамдарға бұл файлдардың қауіпсіз екеніне сенімді болмаса, сілтемелерді басудан және тіркемелерді ашудан сақтандырады.
"Қосымшасы бар хабарды күтпесеңіз, ешбір дереккөзге сенбеңіз", - деп қайталады Сингх. «Сеніңіз, бірақ растаңыз, мысалы, [тіркемені ашпас бұрын] контактіге қоңырау шалыңыз, бұл шынымен досыңыздан жіберілген маңызды электрондық пошта немесе олардың бұзылған тіркелгілеріндегі зиянды электрондық пошта екенін тексеріңіз."