Küberkurjategijad kasutavad konteinerfaile ja muid taktikaid, et pääseda mööda ettevõtte katsest takistada populaarset viisi pahatahtliku andmepüügi kasulike koormuste edastamiseks.
Teadlased on leidnud, et Microsofti Office'i komplektis makrode vaikimisi blokeerimisega tegelevad ohutegijad, kasutades alternatiivseid faile pahatahtlike kasulike koormuste majutamiseks nüüd, kui peamine ohu edastamise kanal on ära lõigatud.
Proofpointi uute andmete kohaselt vähenes ohutegijate makrotoega manuste kasutamine 66. aasta oktoobrist 2021. aasta juunini umbes 2022 protsenti. In blogi postitus neljapäeval. Vähenemise algus langes kokku Microsofti plaaniga hakata Exceli kasutajate jaoks vaikimisi blokeerima XL4 makrosid, millele järgnes sel aastal VBA makrode vaikimisi blokeerimine kogu Office'i komplektis.
Oma tüüpilist vastupanuvõimet demonstreerivad ohus osalejad ei paista end sellest sammust, mis tähistab lähiajaloo üht suurimat e-posti ohumaastiku nihet, end seni heidutanud, ütlesid teadlased Selena Larson, Daniel Blackford ja teised Proofpointi ohu uurimisrühma liikmed. postitus.
Kuigi küberkurjategijad jätkavad praegu andmepüügikampaaniates kasutatavates pahatahtlikes dokumentides makrode kasutamist, on nad hakanud ka Microsofti kaitsestrateegia ümber pöörama, pöördudes pahavara kandjatena muude failitüüpide poole – nimelt konteinerfailide, nagu ISO- ja RAR-manused, samuti Windowsi otsetee (LNK) failid, ütlesid nad.
Tõepoolest, sama kaheksa kuu jooksul, mil makrode toega dokumentide kasutamine vähenes, suurenes pahatahtlike kampaaniate arv, mis kasutasid konteinerfaile, sealhulgas ISO, RAR ja LNK manuseid, peaaegu 175 protsenti, leidsid teadlased.
"On tõenäoline, et ohus osalejad jätkavad pahavara edastamiseks konteinerfailivormingute kasutamist, tuginedes vähem makrotoega manustele," märkisid nad.
Makrosid enam pole?
Macrosid, mida kasutatakse Office'is sageli kasutatavate toimingute automatiseerimiseks, on olnud ühed enim populaarsed viisid et saata pahavara pahatahtlike meilimanustesse vähemalt aastakümne parem osa, kuna neid saab lubada kasutajapoolse lihtsa ühe hiireklõpsuga, kui seda küsitakse.
Makrod on Office'is pikka aega vaikimisi keelatud, kuigi kasutajad said need alati lubada – see on võimaldanud ohus osalejatel relvastada nii VBA makrosid, mis võivad Office'i rakendustes makrode lubamisel automaatselt käivitada pahatahtlikku sisu, kui ka Exceli-spetsiifilisi XL4 makrosid. . Tavaliselt kasutavad näitlejad sotsiaalselt projekteeritud andmepüügikampaaniad veenda ohvreid makrode lubamise vajaduses, et nad saaksid avada pahatahtlikke failimanuseid, mida nad ei tea.
Proofpointi teadlased ütlesid, et kuigi Microsofti liikumine makrode täielikule blokeerimisele ei ole ohustajatel neid täielikult kasutamast heidutanud, on see ärgitanud seda märkimisväärset üleminekut muudele taktikatele.
Teadlased märkisid, et selle nihke võtmeks on taktika, mille abil mööda minna Microsofti meetodist blokeerida VBA makrod, mis põhinevad Mark of the Web (MOTW) atribuudil, mis näitab, kas fail pärineb Internetist, mida tuntakse Zone.Identifierina.
"Microsofti rakendused lisavad selle mõnele dokumendile, kui need veebist alla laaditakse," kirjutasid nad. "Kuid MOTW-st saab konteinerifailivormingute abil mööda minna."
Tõepoolest, IT-turvafirma Outflank mugavalt üksikasjalik Proofpointi andmetel on mitu võimalust rünnakute simuleerimisele spetsialiseerunud eetilistel häkkeritel (tuntud kui "punased meeskonnad"), et MOTW-mehhanismidest mööda hiilida. Tundub, et postitus ei jäänud ohus osalejatele märkamatuks, kuna ka nemad on hakanud seda taktikat kasutama, ütlesid teadlased.
Failivormingus Switcheroo
Teadlaste sõnul kasutavad ründajad makrode blokeerimisest kõrvalehoidmiseks üha enam failivorminguid, nagu ISO (.iso), RAR (.rar), ZIP (.zip) ja IMG (.img) failid. Seda seetõttu, et kuigi failidel endil on MOTW atribuut, siis sees oleval dokumendil, näiteks makrotoega arvutustabelil, seda ei ole, märkisid teadlased.
"Dokumendi ekstraktimisel peab kasutaja siiski lubama makrod, et pahatahtlik koodi automaatselt käivituks, kuid failisüsteem ei tuvasta dokumenti veebist pärinevana," kirjutasid nad postituses.
Lisaks saavad ohus osalejad kasutada konteinerfaile kasuliku koorma otse levitamiseks, lisades täiendavat sisu, näiteks LNK-sid, DLL-id, või käivitatavad (.exe) failid, mida saab kasutada pahatahtliku kasuliku koormuse käivitamiseks, ütlesid teadlased.
Proofpoint on märganud ka XLL-failide (teatud tüüpi dünaamilise lingi teegi (DLL) faili Exceli jaoks) kuritarvitamist ka pahatahtlikes kampaaniates, kuigi mitte nii märkimisväärselt kui ISO-, RAR- ja LNK-failide kasutamine. , märkisid nad.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :on
- :on
- :mitte
- $ UP
- 2021
- 2022
- 50
- 66
- 700
- a
- MEIST
- kuritarvitamise
- Vastavalt
- üle
- osalejad
- lisama
- lisades
- Täiendavad lisad
- lubatud
- Ka
- alternatiiv
- Kuigi
- alati
- vahel
- an
- ja
- ilmuma
- rakendused
- apps
- OLEME
- ümber
- AS
- At
- rünnak
- katse
- automaatselt
- automatiseerimine
- põhineb
- BE
- sest
- olnud
- Algus
- alanud
- on
- Parem
- vahel
- Blokeerima
- blokeerimine
- Blogi
- mõlemad
- kuid
- by
- Kampaaniad
- CAN
- Kanal
- kood
- langes kokku
- tuleb
- tulevad
- ettevõte
- Ettevõtte omad
- Konteiner
- sisu
- jätkama
- veenma
- võiks
- lõigatud
- küberkurjategijad
- Daniel
- andmed
- vähenema
- vähenenud
- vaikimisi
- kaitse
- tarnima
- tarne
- näidates
- juurutada
- otse
- blokeeritud
- levitada
- dokument
- dokumendid
- ei
- Ära
- dünaamiline
- võimaldama
- lubatud
- täielikult
- eetiline
- Excel
- täitma
- kaugele
- fail
- Faile
- leidmine
- Järgneb
- eest
- avastatud
- FRAME
- sageli
- Alates
- saama
- läinud
- häkkerid
- Olema
- ajalugu
- võõrustaja
- HTTPS
- tunnus
- identifitseerima
- in
- Kaasa arvatud
- Suurendama
- kasvanud
- üha rohkem
- infosek
- sees
- Internet
- ISO
- IT
- see turvalisus
- ITS
- juuni
- Teadma
- teatud
- maastik
- suurim
- kõige vähem
- vähem
- võimendav
- Raamatukogu
- Tõenäoliselt
- LINK
- Pikk
- makrosid
- malware
- märk
- max laiuse
- mehhanismid
- meetod
- rohkem
- kõige
- liikuma
- mitmekordne
- peaaegu
- Uus
- Uudiskiri
- ei
- märkimisväärne
- märkida
- nüüd
- number
- oktoober
- of
- maha
- Office
- on
- avatud
- Valikud
- or
- Muu
- teised
- ülevaade
- osa
- protsent
- Phishing
- Pöördetelg
- kava
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- post
- esmane
- hiljuti
- tuginedes
- teadustöö
- Teadlased
- vastupidavust
- Revealed
- jooks
- Ütlesin
- sama
- turvalisus
- tundub
- nähtud
- saatma
- suunata
- Vahetused
- Näitused
- märkimisväärne
- lihtne
- ühekordne
- So
- nii kaugel
- mõned
- spetsialiseerunud
- Arvutustabel
- algus
- Veel
- Strateegia
- selline
- komplekt
- süsteem
- taktika
- ülesanded
- meeskond
- et
- .
- oma
- Neile
- ennast
- Need
- nad
- see
- Sel aastal
- kuigi?
- oht
- ohus osalejad
- neljapäeval
- aeg
- et
- Pöörake
- Pööramine
- tüüp
- liigid
- tüüpiline
- tüüpiliselt
- pakilisus
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- VBA
- laevad
- ohvreid
- Tee..
- web
- Hästi
- M
- millal
- kas
- mis
- kuigi
- will
- aknad
- koos
- kirjutas
- aasta
- sephyrnet
- Tõmblukk
