Key Takeaway
- Keputusan Microsoft untuk menyekat makro akan merompak pelaku ancaman cara popular ini untuk mengedar perisian hasad.
- Walau bagaimanapun, penyelidik mendapati bahawa penjenayah siber telah menukar taktik dan mengurangkan penggunaan makro dengan ketara dalam kempen perisian hasad baru-baru ini.
- Menyekat makro ialah satu langkah ke arah yang betul, tetapi pada penghujung hari, orang ramai perlu lebih berhati-hati untuk mengelak daripada dijangkiti, cadangkan pakar.
Walaupun Microsoft mengambil masa sendiri untuk membuat keputusan untuk menyekat makro secara lalai dalam Microsoft Office, pelaku ancaman pantas mengatasi had ini dan mencipta vektor serangan baharu.
Menurut penyelidikan baharu oleh vendor keselamatan Proofpoint, makro bukan lagi cara kegemaran untuk mengedar perisian hasad. Penggunaan makro biasa menurun sebanyak kira-kira 66% antara Oktober 2021 hingga Jun 2022. Sebaliknya, penggunaan fail ISO (imej cakera) mencatatkan peningkatan lebih 150%, manakala penggunaan LNK (Windows File Shortcut) fail meningkat 1 yang mengejutkan, 675% dalam jangka masa yang sama. Jenis fail ini boleh memintas perlindungan penyekatan makro Microsoft.
"Pelakon ancaman yang beralih daripada mengedarkan lampiran berasaskan makro secara langsung dalam e-mel mewakili perubahan ketara dalam landskap ancaman," kata Sherrod DeGrippo, Naib Presiden, Penyelidikan dan Pengesanan Ancaman di Proofpoint, dalam kenyataan akhbar. "Pelakon ancaman kini menggunakan taktik baharu untuk menghantar perisian hasad, dan peningkatan penggunaan fail seperti ISO, LNK dan RAR dijangka berterusan."
Bergerak Mengikuti Masa
Dalam pertukaran e-mel dengan Lifewire, Harman Singh, Pengarah di penyedia perkhidmatan keselamatan siber Cyphere, menyifatkan makro sebagai program kecil yang boleh digunakan untuk mengautomasikan tugas dalam Microsoft Office, dengan makro XL4 dan VBA merupakan makro yang paling biasa digunakan oleh Pengguna pejabat.
Dari perspektif jenayah siber, Singh berkata pelakon ancaman boleh menggunakan makro untuk beberapa kempen serangan yang agak jahat. Sebagai contoh, makro boleh melaksanakan baris kod berniat jahat pada komputer mangsa dengan keistimewaan yang sama seperti orang yang log masuk. Aktor ancaman boleh menyalahgunakan akses ini untuk mengeluarkan data daripada komputer yang terjejas atau merebut kandungan berniat jahat tambahan daripada pelayan perisian hasad untuk menarik lebih banyak perisian hasad yang merosakkan.
Walau bagaimanapun, Singh pantas menambah bahawa Office bukan satu-satunya cara untuk menjangkiti sistem komputer, tetapi "ia adalah salah satu [sasaran] paling popular kerana penggunaan dokumen Office oleh hampir semua orang di Internet."
Untuk menguasai ancaman, Microsoft mula menandai beberapa dokumen dari lokasi yang tidak dipercayai, seperti internet, dengan atribut Mark of the Web (MOTW), rentetan kod yang menetapkan ciri keselamatan pencetus.
Dalam penyelidikan mereka, Proofpoint mendakwa penurunan dalam penggunaan makro adalah tindak balas langsung kepada keputusan Microsoft untuk menandakan atribut MOTW pada fail.
Singh tidak terkejut. Beliau menjelaskan bahawa arkib termampat seperti fail ISO dan RAR tidak bergantung pada Office dan boleh menjalankan kod hasad sendiri. "Jelas sekali bahawa mengubah taktik adalah sebahagian daripada strategi penjenayah siber untuk memastikan mereka menggunakan kaedah serangan terbaik yang mempunyai kebarangkalian tertinggi untuk [menjangkiti orang]."
Mengandungi Perisian Hasad
Membenamkan perisian hasad dalam fail mampat seperti fail ISO dan RAR juga membantu mengelak teknik pengesanan yang memfokuskan pada menganalisis struktur atau format fail, jelas Singh. "Sebagai contoh, banyak pengesanan untuk fail ISO dan RAR adalah berdasarkan tandatangan fail, yang boleh dialih keluar dengan mudah dengan memampatkan fail ISO atau RAR dengan kaedah pemampatan lain."
Menurut Proofpoint, sama seperti makro berniat jahat sebelum mereka, cara paling popular untuk membawa arkib sarat perisian hasad ini adalah melalui e-mel.
Penyelidikan Proofpoint adalah berdasarkan aktiviti pengesanan pelbagai aktor ancaman terkenal. Ia memerhatikan penggunaan mekanisme akses awal baharu yang digunakan oleh kumpulan yang mengedarkan Bumblebee, dan perisian hasad Emotet, serta beberapa penjenayah siber lain, untuk semua jenis perisian hasad.
"Lebih separuh daripada 15 pelakon ancaman yang dijejaki yang menggunakan fail ISO [antara Oktober 2021 dan Jun 2022] mula menggunakannya dalam kempen selepas Januari 2022, " menyerlahkan Proofpoint.
Untuk menguatkan pertahanan anda terhadap perubahan dalam taktik oleh pelakon ancaman ini, Singh mencadangkan orang ramai berhati-hati dengan e-mel yang tidak diminta. Dia juga memberi amaran kepada orang ramai supaya tidak mengklik pautan dan membuka lampiran melainkan mereka yakin tanpa keraguan bahawa fail ini selamat.
"Jangan percaya mana-mana sumber melainkan anda menjangkakan mesej dengan lampiran," ulang Singh. "Percaya, tetapi sahkan, sebagai contoh, hubungi kenalan sebelum [membuka lampiran] untuk melihat sama ada ia benar-benar e-mel penting daripada rakan anda atau e-mel berniat jahat daripada akaun mereka yang terjejas."
