الجهات الفاعلة في مجال التهديد تتمحور حول الحظر الكلي الذي تفرضه Microsoft في المكاتب

أعاد نشره أفلاطون

المتابعون: 0

يلجأ مجرمو الإنترنت إلى ملفات الحاويات والتكتيكات الأخرى للالتفاف حول محاولة الشركة لإحباط طريقة شائعة لتقديم حمولات التصيد الخبيث.

وجد الباحثون طريقهم للالتفاف حول الحظر الافتراضي الذي تفرضه Microsoft على وحدات الماكرو في مجموعة Office الخاصة بها ، وذلك باستخدام ملفات بديلة لاستضافة حمولات ضارة الآن بعد أن تم قطع القناة الأساسية لتسليم التهديدات.

انخفض استخدام المرفقات التي تدعم وحدات الماكرو من قبل الجهات الفاعلة في التهديد بنحو 66 في المائة بين أكتوبر 2021 ويونيو 2022 ، وفقًا لبيانات جديدة صادرة عن Proofpoint كشفت في بلوق وظيفة يوم الخميس. تزامنت بداية الانخفاض مع خطة Microsoft لبدء حظر وحدات ماكرو XL4 افتراضيًا لمستخدمي Excel ، متبوعة بحظر وحدات ماكرو VBA افتراضيًا عبر مجموعة Office هذا العام.

قال الباحثون سيلينا لارسون ودانييل بلاكفورد وآخرون في فريق البحث عن تهديدات Proofpoint في وظيفة. Infosec Insider Newsletter

على الرغم من استمرار مجرمي الإنترنت في الوقت الحالي في استخدام وحدات الماكرو في المستندات الخبيثة المستخدمة في حملات التصيد الاحتيالي ، فقد بدأوا أيضًا في التمحور حول إستراتيجية دفاع Microsoft من خلال التحول إلى أنواع ملفات أخرى مثل سفن للبرامج الضارة - أي ملفات الحاويات مثل مرفقات ISO و RAR وكذلك قالوا إن ملفات Windows Shortcut (LNK).

في الواقع ، في نفس الإطار الزمني البالغ ثمانية أشهر الذي انخفض فيه استخدام المستندات الممكّنة بوحدات الماكرو ، زاد عدد الحملات الخبيثة التي تستفيد من ملفات الحاويات بما في ذلك مرفقات ISO و RAR و LNK بنسبة 175 بالمائة تقريبًا ، كما وجد الباحثون.

وأشاروا إلى أنه "من المحتمل أن تستمر الجهات الفاعلة في التهديد في استخدام تنسيقات ملفات الحاويات لتقديم برامج ضارة ، مع الاعتماد بشكل أقل على المرفقات التي تم تمكين الماكرو".

لا مزيد من وحدات الماكرو؟

كانت وحدات الماكرو ، التي تُستخدم لأتمتة المهام المستخدمة بشكل متكرر في Office ، من بين أكثر وحدات الماكرو الطرق الشعبية لتقديم برامج ضارة في مرفقات البريد الإلكتروني الضارة على الأقل أفضل جزء من عقد من الزمان، حيث يمكن السماح بها بنقرة واحدة بسيطة بالماوس من جانب المستخدم عند مطالبتك بذلك.

لطالما تم تعطيل وحدات الماكرو افتراضيًا في Office ، على الرغم من أنه يمكن للمستخدمين دائمًا تمكينها - مما سمح للجهات الفاعلة بالتهديد بتسليح كل من وحدات ماكرو VBA ، والتي يمكنها تشغيل المحتوى الضار تلقائيًا عند تمكين وحدات الماكرو في تطبيقات Office ، بالإضافة إلى وحدات ماكرو XL4 الخاصة بـ Excel . عادة ما يستخدمه الممثلون المهندسة اجتماعيا حملات التصيد الاحتيالي لإقناع الضحايا بضرورة تمكين وحدات الماكرو حتى يتمكنوا من فتح ما لا يعرفون أنه مرفقات ملفات ضارة.

قال باحثو Proofpoint إنه في حين أن تحرك Microsoft لحظر وحدات الماكرو تمامًا حتى الآن لم يردع الجهات الفاعلة في التهديد عن استخدامها بالكامل ، فقد حفز هذا التحول الملحوظ إلى تكتيكات أخرى.

وأشار الباحثون إلى أن مفتاح هذا التحول هو تكتيكات لتجاوز طريقة Microsoft لحظر وحدات ماكرو VBA استنادًا إلى سمة Mark of the Web (MOTW) التي توضح ما إذا كان الملف يأتي من الإنترنت المعروف باسم Zone.

كتبوا: "تضيف تطبيقات Microsoft هذا إلى بعض المستندات عند تنزيلها من الويب". "ومع ذلك ، يمكن تجاوز MOTW باستخدام تنسيقات ملفات الحاوية."

في الواقع ، شركة أمن تكنولوجيا المعلومات Outflank مريحة مفصلة خيارات متعددة للقراصنة الأخلاقيين المتخصصين في محاكاة الهجوم - المعروفين باسم "الفريق الأحمر" - لتجاوز آليات MOTW ، وفقًا لـ Proofpoint. قال الباحثون إنه لا يبدو أن المنشور قد مر دون أن يلاحظه أحد من قبل الجهات الفاعلة في التهديد ، حيث بدأوا أيضًا في نشر هذه التكتيكات.

ملف تنسيق Switcheroo

لتجاوز حظر وحدات الماكرو ، يستخدم المهاجمون بشكل متزايد تنسيقات ملفات مثل ملفات ISO (.iso) و RAR (.rar) و ZIP (.zip) و IMG (.img) لإرسال المستندات التي تدعم الماكرو ، كما قال الباحثون. هذا لأنه على الرغم من أن الملفات نفسها ستحتوي على سمة MOTW ، إلا أن المستند الموجود بالداخل ، مثل جدول بيانات ممكّن بماكرو ، لن يكون كذلك ، كما لاحظ الباحثون.

كتبوا في المنشور "عند استخراج المستند ، سيظل المستخدم مضطرًا إلى تمكين وحدات الماكرو لتنفيذ التعليمات البرمجية الضارة تلقائيًا ، لكن نظام الملفات لن يحدد المستند على أنه قادم من الويب".

بالإضافة إلى ذلك ، يمكن للجهات الفاعلة في التهديد استخدام ملفات الحاويات لتوزيع الحمولات مباشرة عن طريق إضافة محتوى إضافي مثل LNKs ، دلس، أو الملفات القابلة للتنفيذ (.exe) التي يمكن استخدامها لتنفيذ حمولة ضارة ، كما قال الباحثون.

شهد Proofpoint أيضًا ارتفاعًا طفيفًا في إساءة استخدام ملفات XLL - وهو نوع من ملف مكتبة الارتباط الديناميكي (DLL) لبرنامج Excel - في الحملات الضارة أيضًا ، على الرغم من أنها ليست زيادة كبيرة مثل استخدام ملفات ISO و RAR و LNK ، لاحظوا.