Siber suçlular, şirketin kötü amaçlı kimlik avı yükleri dağıtmanın popüler bir yolunu engelleme girişimini atlatmak için konteyner dosyalarına ve diğer taktiklere başvuruyor.
Araştırmacılar, tehdit aktörlerinin Microsoft'un Office paketindeki varsayılan makroları engelleme yöntemini, tehdit dağıtımı için birincil kanalın kesilmesi nedeniyle kötü amaçlı yükleri barındırmak için alternatif dosyalar kullanarak aşmaya çalıştığını buldu.
Proofpoint tarafından açıklanan yeni verilere göre, tehdit aktörleri tarafından makroların etkin olduğu eklerin kullanımı Ekim 66 ile Haziran 2021 arasında yaklaşık yüzde 2022 azaldı bir blog yazısı Perşembe. Düşüşün başlangıcı, Microsoft'un Excel kullanıcıları için varsayılan olarak XL4 makrolarını engellemeye başlama planıyla aynı zamana denk geldi ve bunu bu yıl Office paketi genelinde VBA makrolarının varsayılan olarak engellenmesi izledi.
Proofpoint Tehdit Araştırma Ekibi'nden araştırmacılar Selena Larson, Daniel Blackford ve diğerleri, tipik dayanıklılıklarını sergileyen tehdit aktörlerinin, "yakın tarihteki en büyük e-posta tehdit ortamındaki değişimlerden birine" işaret eden bu hamleden şu ana kadar yılmadığını belirtti. bir gönderi.
Siber suçlular şimdilik kimlik avı kampanyalarında kullanılan kötü amaçlı belgelerde makrolar kullanmaya devam etseler de, kötü amaçlı yazılımlara yönelik taşıyıcılar olarak diğer dosya türlerine (yani ISO ve RAR ekleri gibi kapsayıcı dosyalara) yönelerek Microsoft'un savunma stratejisi etrafında dönmeye başladılar. Windows Kısayolu (LNK) dosyalarının olduğunu söylediler.
Araştırmacılar, makro destekli belgelerin kullanımının azaldığı aynı sekiz aylık zaman diliminde, ISO, RAR ve LNK ekleri de dahil olmak üzere konteyner dosyalarından yararlanan kötü amaçlı kampanyaların sayısının neredeyse yüzde 175 arttığını buldu.
"Tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için konteyner dosya formatlarını kullanmaya devam ederken, makro destekli eklere daha az güvenmeleri muhtemeldir" dediler.
Makrolar Artık Yok mu?
Office'te sık kullanılan görevlerin otomatikleştirilmesi için kullanılan makrolar, en çok kullanılanlar arasında yer aldı. popüler yollar en azından kötü amaçlı e-posta eklerinde kötü amaçlı yazılım dağıtmak on yılın daha iyi kısmıistendiğinde kullanıcı tarafından basit, tek bir fare tıklamasıyla bunlara izin verilebilmektedir.
Makrolar Office'te uzun süredir varsayılan olarak devre dışıdır, ancak kullanıcılar bunları her zaman etkinleştirebilir; bu da tehdit aktörlerinin hem Office uygulamalarında makrolar etkinleştirildiğinde otomatik olarak kötü amaçlı içerik çalıştırabilen VBA makrolarını hem de Excel'e özgü XL4 makrolarını silah haline getirmesine olanak tanır. . Genellikle aktörlerin kullandığı sosyal mühendislik kimlik avı kampanyaları Kurbanları, kötü amaçlı dosya ekleri olduğunu bilmedikleri dosyaları açabilmeleri için makroları etkinleştirmenin aciliyeti konusunda ikna etmek.
Proofpoint araştırmacıları, Microsoft'un şu ana kadar makroları tamamen engelleme hamlesinin, tehdit aktörlerini bunları tamamen kullanmaktan caydırmadığını ancak diğer taktiklere yönelik kayda değer değişimi teşvik ettiğini söyledi.
Araştırmacılar, bu değişimin anahtarının Microsoft'un, bir dosyanın Zone.Identifier olarak bilinen internetten gelip gelmediğini gösteren Web İşareti (MOTW) özelliğine dayalı VBA makrolarını engelleme yöntemini atlama taktikleri olduğunu belirtti.
"Microsoft uygulamaları web'den indirildiğinde bazı belgelere bunu ekliyor" diye yazdılar. "Ancak MOTW, kapsayıcı dosya formatları kullanılarak atlanabilir."
Gerçekten de BT güvenlik şirketi Outflank rahatlıkla detaylı Proofpoint'e göre, MOTW mekanizmalarını atlatmak için "kırmızı takım üyeleri" olarak bilinen saldırı simülasyonu konusunda uzmanlaşmış etik bilgisayar korsanları için birçok seçenek var. Araştırmacılar, bu paylaşımın tehdit aktörleri tarafından da gözden kaçmış gibi görünmediğini, çünkü onların da bu taktikleri uygulamaya başladıklarını söyledi.
Dosya Formatı Switcheroo
Araştırmacılar, makro engellemeyi aşmak için saldırganların makro özellikli belgeler göndermek üzere ISO (.iso), RAR (.rar), ZIP (.zip) ve IMG (.img) dosyaları gibi dosya formatlarını giderek daha fazla kullandığını söyledi. Araştırmacılar, bunun nedeni, dosyaların kendilerinin MOTW niteliğine sahip olmasına rağmen, makro özellikli bir elektronik tablo gibi içindeki belgenin olmamasıdır.
Gönderide "Belge çıkarıldığında, kullanıcının kötü amaçlı kodun otomatik olarak çalıştırılması için makroları etkinleştirmesi gerekecek, ancak dosya sistemi belgenin web'den geldiğini tanımlamayacaktır" diye yazdılar.
Ayrıca tehdit aktörleri, LNK'ler gibi ek içerikler ekleyerek yükleri doğrudan dağıtmak için konteyner dosyalarını kullanabilir. DLLAraştırmacılar, kötü amaçlı bir yükü yürütmek için kullanılabilecek .exe veya yürütülebilir (.exe) dosyalarının bulunduğunu söyledi.
Proofpoint ayrıca, ISO, RAR ve LNK dosyalarının kullanımı kadar önemli olmasa da, kötü amaçlı kampanyalarda Excel için bir tür dinamik bağlantı kitaplığı (DLL) dosyası olan XLL dosyalarının kötüye kullanımında da hafif bir artış gördü. , not ettiler.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://threatpost.com/threat-pivot-microsofts-macro/180319/
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 2021
- 2022
- 50
- 66
- 700
- a
- Hakkımızda
- taciz
- Göre
- karşısında
- aktörler
- eklemek
- ekleme
- Ek
- izin
- Ayrıca
- alternatif
- Rağmen
- her zaman
- arasında
- an
- ve
- görünmek
- uygulamaları
- uygulamalar
- ARE
- etrafında
- AS
- At
- saldırı
- girişim
- otomatik olarak
- ayrıca otomasyonun
- merkezli
- BE
- Çünkü
- olmuştur
- Başlangıç
- başladı
- olmak
- Daha iyi
- arasında
- Engellemek
- bloke etme
- Blog
- her ikisi de
- fakat
- by
- Kampanyalar
- CAN
- Telegram Kanal
- kod
- çakıştı
- geliyor
- gelecek
- şirket
- Şirketin
- Konteyner
- içerik
- devam etmek
- ikna etmek
- olabilir
- kesim
- siber suçluların
- Daniel
- veri
- azaltmak
- azalmış
- Varsayılan
- Savunma
- teslim etmek
- teslim
- tasviridir
- dağıtmak
- direkt olarak
- özürlü
- dağıtmak
- belge
- evraklar
- yok
- Dont
- dinamik
- E-posta
- etkinleştirmek
- etkin
- Baştan sona
- törel
- Excel
- yürütmek
- uzak
- fileto
- dosyalar
- bulma
- takip
- İçin
- bulundu
- ÇERÇEVE
- sık sık
- itibaren
- almak
- gitmiş
- hackerlar
- Var
- tarih
- ev sahibi
- HTTPS
- tanımlayıcı
- belirlemek
- in
- Dahil olmak üzere
- Artırmak
- artmış
- giderek
- INFOSEC
- içeride
- Internet
- ISO
- IT
- bu güvenlik
- ONUN
- Haziran
- Bilmek
- bilinen
- manzara
- büyük
- en az
- az
- kaldıraç
- Kütüphane
- Muhtemelen
- LINK
- Uzun
- makrolar
- kötü amaçlı yazılım
- işaret
- maksimum genişlik
- mekanizmaları
- yöntem
- Daha
- çoğu
- hareket
- çoklu
- neredeyse
- yeni
- Kaydolun
- yok hayır
- dikkate değer
- ünlü
- şimdi
- numara
- Ekim
- of
- kapalı
- Office
- on
- açık
- Opsiyonlar
- or
- Diğer
- Diğer
- genel bakış
- Bölüm
- yüzde
- Kimlik avı
- Pivot
- plan
- Platon
- Plato Veri Zekası
- PlatoVeri
- Popüler
- Çivi
- birincil
- son
- güvenerek
- araştırma
- Araştırmacılar
- esneklik
- Açığa
- koşmak
- Adı geçen
- aynı
- güvenlik
- görünmek
- görüldü
- göndermek
- çalışma
- Vardiyalar
- Gösteriler
- önemli
- Basit
- tek
- So
- şu ana kadar
- biraz
- uzmanlaşmış
- Tablo
- başlama
- Yine
- Stratejileri
- böyle
- süit
- sistem
- taktik
- görevleri
- takım
- o
- The
- ve bazı Asya
- Onları
- kendilerini
- Bunlar
- onlar
- Re-Tweet
- Bu yıl
- gerçi?
- tehdit
- tehdit aktörleri
- Perşembe
- zaman
- için
- DÖNÜŞ
- Dönüş
- tip
- türleri
- tipik
- tipik
- aciliyet
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- VBA
- gemiler
- kurbanlar
- Yol..
- ağ
- İYİ
- Ne
- ne zaman
- olup olmadığını
- hangi
- süre
- irade
- pencereler
- ile
- yazdı
- yıl
- zefirnet
- zip
