مجرمان سایبری به فایلهای کانتینری و تاکتیکهای دیگر روی میآورند تا تلاش شرکت را برای خنثی کردن یک روش محبوب برای ارسال محمولههای مخرب فیشینگ نادیده بگیرند.
محققان دریافتهاند که عوامل تهدید در حال یافتن راه خود برای مسدود کردن پیشفرض ماکروها در مجموعه آفیس توسط مایکروسافت هستند و از فایلهای جایگزین برای میزبانی بارهای مخرب استفاده میکنند، اکنون که یک کانال اصلی برای ارسال تهدید قطع شده است.
بر اساس دادههای جدید نشان داده شده توسط Proofpoint، استفاده از پیوستهای ماکرو فعال توسط عوامل تهدید بین اکتبر ۲۰۲۱ تا ژوئن ۲۰۲۲ حدود ۶۶ درصد کاهش یافته است. در یک پست وبلاگ پنج شنبه. آغاز این کاهش همزمان با برنامه مایکروسافت برای شروع مسدود کردن ماکروهای XL4 به طور پیش فرض برای کاربران اکسل، و در ادامه با مسدود کردن ماکروهای VBA به طور پیش فرض در مجموعه آفیس در سال جاری بود.
محققان سلنا لارسون، دانیل بلکفورد و دیگران در تیم تحقیقاتی Proofpoint Threat گفتند که بازیگران تهدید که انعطافپذیری معمولی خود را نشان میدهند، تاکنون از این اقدام که «یکی از بزرگترین تغییرات چشمانداز تهدید ایمیل در تاریخ اخیر» را نشان میدهد، نترسیدهاند. یک پست.
اگرچه مجرمان سایبری در حال حاضر به استفاده از ماکروها در اسناد مخرب مورد استفاده در کمپینهای فیشینگ ادامه میدهند، آنها همچنین با روی آوردن به انواع فایلهای دیگر مانند مخازن بدافزارها، مانند فایلهای کانتینری مانند پیوستهای ISO و RAR و همچنین، راهبرد دفاعی مایکروسافت را محور قرار دادهاند. آنها گفتند فایل های میانبر ویندوز (LNK).
در واقع، در بازه زمانی هشت ماههای که استفاده از اسناد ماکرو فعال کاهش یافت، تعداد کمپینهای مخربی که از فایلهای کانتینری از جمله پیوستهای ISO، RAR و LNK استفاده میکردند، نزدیک به 175 درصد افزایش یافت.
آنها خاطرنشان کردند: «احتمالاً عوامل تهدید به استفاده از فرمتهای فایل کانتینری برای ارائه بدافزار ادامه خواهند داد، در حالی که کمتر به پیوستهای فعال شده ماکرو متکی هستند.
ماکروها بیشتر نیست؟
ماکروها، که برای خودکارسازی کارهای پرکاربرد در آفیس استفاده میشوند، از بیشترین تعداد بودهاند راه های محبوب برای ارائه بدافزار در پیوست های ایمیل مخرب حداقل به مدت بهترین بخش یک دهه، زیرا می توان آنها را با یک کلیک ساده و تک ماوس روی بخشی از کاربر در صورت درخواست مجاز دانست.
مدتهاست که ماکروها بهطور پیشفرض در آفیس غیرفعال شدهاند، اگرچه کاربران همیشه میتوانستند آنها را فعال کنند – که به عوامل تهدید اجازه میدهد تا هر دو ماکرو VBA را به سلاح تبدیل کنند، که میتوانند به طور خودکار محتوای مخرب را هنگام فعال شدن ماکروها در برنامههای آفیس و همچنین ماکروهای XL4 مخصوص اکسل اجرا کنند. . به طور معمول بازیگران استفاده می کنند اجتماعی مهندسی کمپین های فیشینگ برای متقاعد کردن قربانیان فوریت به فعال کردن ماکروها تا بتوانند فایل های پیوست فایل های مخرب را که نمی دانند باز کنند.
به گفته محققان Proofpoint، در حالی که اقدام مایکروسافت برای مسدود کردن کامل ماکروها تاکنون عاملان تهدید را از استفاده کامل از آنها منصرف نکرده است، اما این تغییر قابل توجه به سمت تاکتیک های دیگر را تحریک کرده است.
محققان خاطرنشان کردند که کلید این تغییر تاکتیکهایی برای دور زدن روش مایکروسافت برای مسدود کردن ماکروهای VBA بر اساس ویژگی Mark of the Web (MOTW) است که نشان میدهد آیا فایلی از اینترنت به نام Zone.Identifier آمده است یا خیر.
آنها نوشتند: "برنامه های مایکروسافت این را به برخی از اسناد اضافه می کنند که از وب دانلود می شوند." با این حال، MOTW را می توان با استفاده از فرمت های فایل کانتینری دور زد.
در واقع، فناوری اطلاعات شرکت امنیت Outflank به راحتی دقیق به گفته Proofpoint، چندین گزینه برای هکرهای اخلاقی متخصص در شبیهسازی حمله - معروف به "تیمهای قرمز" - برای دور زدن مکانیسمهای MOTW. به گفته محققان، به نظر می رسد این پست مورد توجه عوامل تهدید قرار نگرفته باشد، زیرا آنها نیز شروع به استفاده از این تاکتیک ها کرده اند.
فایل-فرمت Switcheroo
به گفته محققان، برای دور زدن مسدود کردن ماکروها، مهاجمان به طور فزاینده ای از فرمت های فایل مانند ISO (.iso)، RAR (.rar)، ZIP (.zip) و IMG (.img) برای ارسال اسناد دارای قابلیت ماکرو استفاده می کنند. این به این دلیل است که اگرچه خود فایلها دارای ویژگی MOTW هستند، اما سند داخل آن، مانند صفحهگستردهای که با ماکرو فعال است، این ویژگی را نخواهد داشت.
آنها در این پست نوشتند: «هنگامی که سند استخراج میشود، کاربر همچنان باید ماکروها را برای اجرای خودکار کدهای مخرب فعال کند، اما سیستم فایل نمیتواند سند را که از وب آمده است شناسایی کند.
علاوه بر این، عوامل تهدید می توانند از فایل های کانتینری برای توزیع مستقیم محموله ها با افزودن محتوای اضافی مانند LNK ها استفاده کنند. DLL هابه گفته محققان، فایل های اجرایی (exe.) که می توانند برای اجرای یک بار مخرب استفاده شوند.
Proofpoint همچنین در کمپینهای مخرب نیز افزایش جزئی در سوء استفاده از فایلهای XLL (نوعی فایل کتابخانه پیوند پویا (DLL) برای اکسل مشاهده کرده است، اگرچه به اندازه استفاده از فایلهای ISO، RAR و LNK افزایش چشمگیری نداشته است. ، خاطرنشان کردند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- : دارد
- :است
- :نه
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- درباره ما
- سو استفاده کردن
- مطابق
- در میان
- بازیگران
- اضافه کردن
- اضافه کردن
- اضافی
- مجاز
- همچنین
- جایگزین
- هر چند
- همیشه
- در میان
- an
- و
- ظاهر شدن
- برنامه های کاربردی
- برنامه های
- هستند
- دور و بر
- AS
- At
- حمله
- کوشش
- بطور خودکار
- اتوماسیون
- مستقر
- BE
- زیرا
- بوده
- شروع
- شروع شد
- بودن
- بهتر
- میان
- مسدود کردن
- انسداد
- بلاگ
- هر دو
- اما
- by
- مبارزات
- CAN
- کانال
- رمز
- مصادف شد
- می آید
- آینده
- شرکت
- شرکت
- ظرف
- محتوا
- ادامه دادن
- متقاعد کردن
- میتوانست
- برش
- مجرمان سایبری
- دانیل
- داده ها
- کاهش
- کاهش یافته
- به طور پیش فرض
- دفاع
- ارائه
- تحویل
- نشان دادن
- گسترش
- مستقیما
- غیر فعال
- توزیع کردن
- سند
- اسناد و مدارک
- میکند
- آیا
- پویا
- پست الکترونیک
- قادر ساختن
- فعال
- به طور کامل
- اخلاقی
- اکسل
- اجرا کردن
- بسیار
- پرونده
- فایل ها
- پیدا کردن
- به دنبال
- برای
- یافت
- FRAME
- غالبا
- از جانب
- دریافت کنید
- رفته
- هکرها
- آیا
- تاریخ
- میزبان
- HTTPS
- شناسه
- شناسایی
- in
- از جمله
- افزایش
- افزایش
- به طور فزاینده
- infosec
- داخل
- اینترنت
- ISO
- IT
- امنیت آن است
- ITS
- ژوئن
- دانستن
- شناخته شده
- چشم انداز
- بزرگترین
- کمترین
- کمتر
- بهره برداری
- کتابخانه
- احتمالا
- ارتباط دادن
- طولانی
- ماکرو
- نرم افزارهای مخرب
- علامت
- حداکثر عرض
- مکانیسم
- روش
- بیش
- اکثر
- حرکت
- چندگانه
- تقریبا
- جدید
- عضویت در خبرنامه
- نه
- قابل توجه
- اشاره کرد
- اکنون
- عدد
- اکتبر
- of
- خاموش
- دفتر
- on
- باز کن
- گزینه
- or
- دیگر
- دیگران
- مروری
- بخش
- در صد
- فیشینگ
- محور
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- محبوب
- پست
- اصلی
- اخیر
- تکیه بر
- تحقیق
- محققان
- حالت ارتجاعی
- نشان داد
- دویدن
- سعید
- همان
- تیم امنیت لاتاری
- به نظر می رسد
- مشاهده گردید
- ارسال
- تغییر
- شیفت
- نشان می دهد
- قابل توجه
- ساده
- تنها
- So
- تا حالا
- برخی از
- متخصص
- صفحه گسترده
- شروع
- هنوز
- استراتژی
- چنین
- دنباله
- سیستم
- تاکتیک
- وظایف
- تیم
- که
- La
- شان
- آنها
- خودشان
- اینها
- آنها
- این
- در این سال
- اگر چه؟
- تهدید
- بازیگران تهدید
- پنج شنبه
- زمان
- به
- دور زدن
- عطف
- نوع
- انواع
- نوعی
- به طور معمول
- ضرورت
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- VBA
- عروق
- قربانیان
- مسیر..
- وب
- خوب
- چی
- چه زمانی
- چه
- که
- در حین
- اراده
- پنجره
- با
- نوشت
- سال
- زفیرنت
- زیپ