عوامل تهدید حول انسداد ماکرو مایکروسافت در آفیس می چرخند

محققان دریافته‌اند که عوامل تهدید در حال یافتن راه خود برای مسدود کردن پیش‌فرض ماکروها در مجموعه آفیس توسط مایکروسافت هستند و از فایل‌های جایگزین برای میزبانی بارهای مخرب استفاده می‌کنند، اکنون که یک کانال اصلی برای ارسال تهدید قطع شده است.

بر اساس داده‌های جدید نشان داده شده توسط Proofpoint، استفاده از پیوست‌های ماکرو فعال توسط عوامل تهدید بین اکتبر ۲۰۲۱ تا ژوئن ۲۰۲۲ حدود ۶۶ درصد کاهش یافته است. در یک پست وبلاگ پنج شنبه. آغاز این کاهش همزمان با برنامه مایکروسافت برای شروع مسدود کردن ماکروهای XL4 به طور پیش فرض برای کاربران اکسل، و در ادامه با مسدود کردن ماکروهای VBA به طور پیش فرض در مجموعه آفیس در سال جاری بود.

محققان سلنا لارسون، دانیل بلکفورد و دیگران در تیم تحقیقاتی Proofpoint Threat گفتند که بازیگران تهدید که انعطاف‌پذیری معمولی خود را نشان می‌دهند، تاکنون از این اقدام که «یکی از بزرگ‌ترین تغییرات چشم‌انداز تهدید ایمیل در تاریخ اخیر» را نشان می‌دهد، نترسیده‌اند. یک پست.

اگرچه مجرمان سایبری در حال حاضر به استفاده از ماکروها در اسناد مخرب مورد استفاده در کمپین‌های فیشینگ ادامه می‌دهند، آنها همچنین با روی آوردن به انواع فایل‌های دیگر مانند مخازن بدافزارها، مانند فایل‌های کانتینری مانند پیوست‌های ISO و RAR و همچنین، راهبرد دفاعی مایکروسافت را محور قرار داده‌اند. آنها گفتند فایل های میانبر ویندوز (LNK).

در واقع، در بازه زمانی هشت ماهه‌ای که استفاده از اسناد ماکرو فعال کاهش یافت، تعداد کمپین‌های مخربی که از فایل‌های کانتینری از جمله پیوست‌های ISO، RAR و LNK استفاده می‌کردند، نزدیک به 175 درصد افزایش یافت.

آنها خاطرنشان کردند: «احتمالاً عوامل تهدید به استفاده از فرمت‌های فایل کانتینری برای ارائه بدافزار ادامه خواهند داد، در حالی که کمتر به پیوست‌های فعال شده ماکرو متکی هستند.

ماکروها بیشتر نیست؟

ماکروها، که برای خودکارسازی کارهای پرکاربرد در آفیس استفاده می‌شوند، از بیشترین تعداد بوده‌اند راه های محبوب برای ارائه بدافزار در پیوست های ایمیل مخرب حداقل به مدت بهترین بخش یک دهه، زیرا می توان آنها را با یک کلیک ساده و تک ماوس روی بخشی از کاربر در صورت درخواست مجاز دانست.

مدت‌هاست که ماکروها به‌طور پیش‌فرض در آفیس غیرفعال شده‌اند، اگرچه کاربران همیشه می‌توانستند آن‌ها را فعال کنند – که به عوامل تهدید اجازه می‌دهد تا هر دو ماکرو VBA را به سلاح تبدیل کنند، که می‌توانند به طور خودکار محتوای مخرب را هنگام فعال شدن ماکروها در برنامه‌های آفیس و همچنین ماکروهای XL4 مخصوص اکسل اجرا کنند. . به طور معمول بازیگران استفاده می کنند اجتماعی مهندسی کمپین های فیشینگ برای متقاعد کردن قربانیان فوریت به فعال کردن ماکروها تا بتوانند فایل های پیوست فایل های مخرب را که نمی دانند باز کنند.

به گفته محققان Proofpoint، در حالی که اقدام مایکروسافت برای مسدود کردن کامل ماکروها تاکنون عاملان تهدید را از استفاده کامل از آنها منصرف نکرده است، اما این تغییر قابل توجه به سمت تاکتیک های دیگر را تحریک کرده است.

محققان خاطرنشان کردند که کلید این تغییر تاکتیک‌هایی برای دور زدن روش مایکروسافت برای مسدود کردن ماکروهای VBA بر اساس ویژگی Mark of the Web (MOTW) است که نشان می‌دهد آیا فایلی از اینترنت به نام Zone.Identifier آمده است یا خیر.

آنها نوشتند: "برنامه های مایکروسافت این را به برخی از اسناد اضافه می کنند که از وب دانلود می شوند." با این حال، MOTW را می توان با استفاده از فرمت های فایل کانتینری دور زد.

در واقع، فناوری اطلاعات شرکت امنیت Outflank به راحتی دقیق به گفته Proofpoint، چندین گزینه برای هکرهای اخلاقی متخصص در شبیه‌سازی حمله - معروف به "تیم‌های قرمز" - برای دور زدن مکانیسم‌های MOTW. به گفته محققان، به نظر می رسد این پست مورد توجه عوامل تهدید قرار نگرفته باشد، زیرا آنها نیز شروع به استفاده از این تاکتیک ها کرده اند.

فایل-فرمت Switcheroo

به گفته محققان، برای دور زدن مسدود کردن ماکروها، مهاجمان به طور فزاینده ای از فرمت های فایل مانند ISO (.iso)، RAR (.rar)، ZIP (.zip) و IMG (.img) برای ارسال اسناد دارای قابلیت ماکرو استفاده می کنند. این به این دلیل است که اگرچه خود فایل‌ها دارای ویژگی MOTW هستند، اما سند داخل آن، مانند صفحه‌گسترده‌ای که با ماکرو فعال است، این ویژگی را نخواهد داشت.

آنها در این پست نوشتند: «هنگامی که سند استخراج می‌شود، کاربر همچنان باید ماکروها را برای اجرای خودکار کدهای مخرب فعال کند، اما سیستم فایل نمی‌تواند سند را که از وب آمده است شناسایی کند.

علاوه بر این، عوامل تهدید می توانند از فایل های کانتینری برای توزیع مستقیم محموله ها با افزودن محتوای اضافی مانند LNK ها استفاده کنند. DLL هابه گفته محققان، فایل های اجرایی (exe.) که می توانند برای اجرای یک بار مخرب استفاده شوند.

Proofpoint همچنین در کمپین‌های مخرب نیز افزایش جزئی در سوء استفاده از فایل‌های XLL (نوعی فایل کتابخانه پیوند پویا (DLL) برای اکسل مشاهده کرده است، اگرچه به اندازه استفاده از فایل‌های ISO، RAR و LNK افزایش چشمگیری نداشته است. ، خاطرنشان کردند.