Kibernetski kriminalci se obrnejo na vsebniške datoteke in druge taktike, da bi se izognili poskusu podjetja, da prepreči priljubljen način dostave zlonamernega lažnega predstavljanja.
Raziskovalci so ugotovili, da akterji groženj iščejo pot okoli Microsoftovega privzetega blokiranja makrov v njegovem paketu Office z uporabo alternativnih datotek za gostovanje zlonamernih koristnih vsebin zdaj, ko je glavni kanal za dostavo groženj prekinjen.
Po novih podatkih, ki jih je razkril Proofpoint, se je med oktobrom 66 in junijem 2021 uporaba prilog, ki podpirajo makre, s strani akterjev groženj zmanjšala za približno 2022 odstotkov. v blog post četrtek. Začetek znižanja je sovpadel z Microsoftovim načrtom, da začne privzeto blokirati makre XL4 za uporabnike Excela, čemur je letos sledilo privzeto blokiranje makrov VBA v celotnem paketu Office.
Akterji groženj, ki izkazujejo svojo značilno odpornost, se do zdaj zdijo neustrašni zaradi te poteze, ki označuje "enega največjih premikov v krajini groženj po elektronski pošti v novejši zgodovini," so povedali raziskovalci Selena Larson, Daniel Blackford in drugi iz skupine za raziskovanje groženj Proofpoint. objava.
Čeprav kibernetski kriminalci zaenkrat še naprej uporabljajo makre v zlonamernih dokumentih, ki se uporabljajo v kampanjah z lažnim predstavljanjem, so se prav tako začeli vrteti okoli Microsoftove obrambne strategije, tako da so se obrnili na druge vrste datotek kot posode za zlonamerno programsko opremo – in sicer vsebniške datoteke, kot so priloge ISO in RAR ter Datoteke Windows Shortcut (LNK), so rekli.
Dejansko se je v istem osemmesečnem časovnem okviru, v katerem se je uporaba dokumentov, ki podpirajo makre, zmanjšala, število zlonamernih kampanj, ki uporabljajo vsebniške datoteke, vključno s prilogami ISO, RAR in LNK, povečalo za skoraj 175 odstotkov, so ugotovili raziskovalci.
"Verjetno bodo akterji groženj še naprej uporabljali oblike vsebniških datotek za dostavo zlonamerne programske opreme, medtem ko se bodo manj zanašali na priloge, ki podpirajo makro," so opozorili.
Nič več makrov?
Makri, ki se uporabljajo za avtomatizacijo pogosto uporabljenih opravil v Officeu, so bili med najbolj priljubljenimi priljubljeni načini za dostavo zlonamerne programske opreme v zlonamernih e-poštnih prilogah vsaj za večji del desetletja, saj jih je mogoče dovoliti s preprostim, enim klikom miške s strani uporabnika, ko je pozvan.
Makri so bili v Officeu že dolgo privzeto onemogočeni, čeprav so jih uporabniki vedno lahko omogočili – kar je akterjem groženj omogočilo, da uporabijo tako makre VBA, ki lahko samodejno izvajajo zlonamerno vsebino, ko so makri omogočeni v Officeovih aplikacijah, kot tudi makre XL4, specifične za Excel . Igralci običajno uporabljajo družbeno inženirstvo phishing kampanje prepričati žrtve, da je nujno treba omogočiti makre, da bodo lahko odpirale tisto, za kar ne vedo, da so zlonamerne datotečne priloge.
Medtem ko Microsoftova poteza za popolno blokiranje makrov doslej akterjev groženj ni odvrnila od njihove popolne uporabe, je spodbudila ta opazen premik k drugim taktikam, so povedali raziskovalci Proofpointa.
Ključna za ta premik je taktika za izogibanje Microsoftovi metodi za blokiranje makrov VBA na podlagi atributa Mark of the Web (MOTW), ki prikazuje, ali datoteka prihaja iz interneta, znanega kot Zone.Identifier, so opozorili raziskovalci.
"Microsoftove aplikacije to dodajo nekaterim dokumentom, ko jih prenesejo s spleta," so zapisali. "Vendar je MOTW mogoče zaobiti z uporabo formatov vsebniških datotek."
Dejansko je IT varnostno podjetje Outflank priročno podrobno več možnosti za etične hekerje, specializirane za simulacijo napadov – znane kot »rdeči teamers« –, da zaobidejo mehanizme MOTW, glede na Proofpoint. Zdi se, da objava ni ostala neopažena akterjem groženj, saj so prav tako začeli uporabljati te taktike, pravijo raziskovalci.
Format datoteke Switcheroo
Da bi zaobšli blokiranje makrov, napadalci vse pogosteje uporabljajo oblike datotek, kot so datoteke ISO (.iso), RAR (.rar), ZIP (.zip) in IMG (.img) za pošiljanje dokumentov, ki podpirajo makro, pravijo raziskovalci. Raziskovalci ugotavljajo, da čeprav bodo same datoteke imele atribut MOTW, dokument v notranjosti, kot je preglednica z omogočenimi makroji, ne bo.
"Ko je dokument ekstrahiran, bo uporabnik še vedno moral omogočiti makre za samodejno izvajanje zlonamerne kode, vendar datotečni sistem ne bo identificiral dokumenta, kot da prihaja iz spleta," so zapisali v objavi.
Poleg tega lahko akterji groženj uporabljajo vsebniške datoteke za neposredno distribucijo tovora z dodajanjem dodatne vsebine, kot so LNK, DLL-ji, ali izvršljive (.exe) datoteke, ki jih je mogoče uporabiti za izvajanje zlonamernega tovora, so povedali raziskovalci.
Proofpoint je opazil tudi rahlo povečanje zlorabe datotek XLL – vrste datoteke dinamične povezovalne knjižnice (DLL) za Excel – tudi v zlonamernih kampanjah, čeprav ne tako velikega porasta kot uporaba datotek ISO, RAR in LNK , so opozorili.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :ima
- : je
- :ne
- $GOR
- 2021
- 2022
- 50
- 66
- 700
- a
- O meni
- zloraba
- Po
- čez
- akterji
- dodajte
- dodajanje
- Dodatne
- dovoljene
- Prav tako
- alternativa
- Čeprav
- vedno
- med
- an
- in
- zdi
- aplikacije
- aplikacije
- SE
- okoli
- AS
- At
- napad
- poskus
- samodejno
- avtomatizacija
- temeljijo
- BE
- ker
- bilo
- Začetek
- začel
- počutje
- Boljše
- med
- Block
- blokiranje
- Blog
- tako
- vendar
- by
- Kampanje
- CAN
- Channel
- Koda
- sovpadal
- prihaja
- prihajajo
- podjetje
- Podjetja
- Posoda
- vsebina
- naprej
- prepričati
- bi
- Cut
- cybercriminals
- Daniel
- datum
- zmanjša
- zmanjšala
- privzeto
- Defense
- poda
- dostava
- dokazuje
- razporedi
- neposredno
- onemogočena
- distribuirati
- dokument
- Dokumenti
- ne
- dont
- dinamično
- E-naslov
- omogočajo
- omogočena
- popolnoma
- etično
- Excel
- izvršiti
- daleč
- file
- datoteke
- iskanje
- sledili
- za
- je pokazala,
- FRAME
- pogosto
- iz
- dobili
- več
- hekerji
- Imajo
- zgodovina
- gostitelj
- HTTPS
- identifikator
- identificirati
- in
- Vključno
- Povečajte
- povečal
- vedno
- INFOSEC
- v notranjosti
- Internet
- ISO
- IT
- varnost
- ITS
- junij
- Vedite
- znano
- Pokrajina
- Največji
- vsaj
- manj
- vzvod
- Knjižnica
- Verjeten
- LINK
- Long
- makri
- zlonamerna programska oprema
- znamka
- max širine
- Mehanizmi
- Metoda
- več
- Najbolj
- premikanje
- več
- skoraj
- Novo
- Novice
- št
- opazen
- opozoriti
- zdaj
- Številka
- oktober
- of
- off
- Office
- on
- odprite
- možnosti
- or
- Ostalo
- drugi
- pregled
- del
- odstotkov
- Ribarjenje
- pivot
- Načrt
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Popular
- Prispevek
- primarni
- nedavno
- zanašanje
- Raziskave
- raziskovalci
- odpornost
- Razkrito
- Run
- Je dejal
- Enako
- varnost
- zdi se
- videl
- pošljite
- premik
- Izmene
- Razstave
- pomemben
- Enostavno
- sam
- So
- doslej
- nekaj
- specializacijo
- Spreadsheet
- Začetek
- Še vedno
- Strategija
- taka
- apartma
- sistem
- taktike
- Naloge
- skupina
- da
- O
- njihove
- Njih
- sami
- te
- jih
- ta
- letos
- čeprav?
- Grožnja
- akterji groženj
- četrtek
- čas
- do
- OBRAT
- Obračalni
- tip
- Vrste
- tipičen
- tipično
- nujnost
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- VBA
- plovila
- žrtve
- način..
- web
- Dobro
- Kaj
- kdaj
- ali
- ki
- medtem
- bo
- okna
- z
- Napisal
- leto
- zefirnet
- Zip
