Үндсэн санаанууд
- Microsoft-ийн макрог блоклох шийдвэр нь жүжигчдэд хортой програм түгээх түгээмэл хэрэглүүрийг хулгайлах болно.
- Гэсэн хэдий ч кибер гэмт хэрэгтнүүд сүүлийн үеийн хортой программ кампанит ажилд аль хэдийн арга барилаа өөрчилж, макро ашиглахаа эрс багасгасан болохыг судлаачид тэмдэглэж байна.
- Макро блоклох нь зөв алхам боловч эцсийн эцэст хүмүүс халдвар авахгүйн тулд илүү сонор сэрэмжтэй байх хэрэгтэй гэж мэргэжилтнүүд зөвлөж байна.
Майкрософт Microsoft Office-д анхдагчаар макрог блоклохоор шийдэж байсан ч аюул заналхийлэгчид энэ хязгаарлалтыг хурдан даван туулж, шинэ халдлагын векторуудыг зохион бүтээсэн.
Аюулгүй байдлын үйлдвэрлэгч Proofpoint-ийн хийсэн шинэ судалгаагаар макро нь хортой програм түгээх дуртай хэрэгсэл байхаа больсон. Нийтлэг макроны хэрэглээ 2021 оны 10-р сараас 2022 оны 6-р сарын хооронд ойролцоогоор 66%-иар буурсан байна. Нөгөөтэйгүүр, ISO файлуудын хэрэглээ (дискний дүрс) 150%-иар нэмэгдсэн бол LNK (Windows File Shortcut)-ийн хэрэглээ 150%-иар өссөн байна. Энэ хугацаанд файлууд 1,675%-иар өссөн байна. Эдгээр файлын төрлүүд Microsoft-ын макро хориглох хамгаалалтыг алгасах боломжтой.
"Аюул заналхийлэгчид макро-д суурилсан хавсралтуудыг шууд цахим шуудангаар түгээхээс татгалзаж байгаа нь аюул заналхийллийн орчинд мэдэгдэхүйц өөрчлөлтийг харуулж байна" гэж Proofpoint-ын Аюул судалгаа, илрүүлэлт хариуцсан дэд ерөнхийлөгч Шеррод ДеГриппо хэвлэлийнхэнд хэлсэн байна. "Аюул заналхийлэгчид одоо хортой програмыг түгээх шинэ тактикийг хэрэгжүүлж байгаа бөгөөд ISO, LNK, RAR зэрэг файлуудын хэрэглээ нэмэгдэх хандлагатай байна."
Цаг үетэй хөл нийлүүлэн алхах нь
Кибер аюулгүй байдлын үйлчилгээ үзүүлэгч Cyphere-ийн захирал Харман Сингх Lifewire-тэй цахим шуудан солилцохдоо макрог Microsoft Office-ийн даалгавруудыг автоматжуулахад ашиглаж болох жижиг програмууд гэж тодорхойлсон бөгөөд XL4 болон VBA макронууд нь хамгийн түгээмэл хэрэглэгддэг макронууд юм. Оффисын хэрэглэгчид.
Цахим гэмт хэргийн үүднээс Сингх хэлэхдээ аюул заналхийлэгчид макро ашиглан халдлага үйлдэхэд маш муу кампанит ажил хийж болно. Жишээлбэл, макро нь хохирогчийн компьютер дээр нэвтэрсэн хүнтэй ижил эрхээр хортой код мөрүүдийг ажиллуулж болно. Аюул заналхийлэгчид энэ хандалтыг урвуулан ашиглаж, эвдэрсэн компьютерийн өгөгдлийг задлах эсвэл бүр илүү их хор хөнөөлтэй хортой програмыг татаж авахын тулд хортой програмын серверээс нэмэлт хортой контент авах боломжтой.
Гэсэн хэдий ч Сингх нэн даруй Office бол компьютерийн системийг халдварлах цорын ганц арга зам биш, гэхдээ "Интернэт дэх бараг бүх хүмүүс Office баримт бичгийг ашигладаг тул энэ нь хамгийн алдартай [зорилтуудын] нэг юм."
Миксрософт энэ аюулыг даван туулахын тулд интернет зэрэг найдваргүй байршлын зарим баримт бичгүүдийг триггерийн аюулгүй байдлын функцуудыг тодорхойлсон код бүхий Маркны Вэб (MOTW) шинж чанараар тэмдэглэж эхэлсэн.
Proofpoint өөрсдийн судалгаагаар макроны хэрэглээ багассан нь Microsoft-ын MOTW шинж чанарыг файлуудад тэмдэглэх шийдвэрийн шууд хариу үйлдэл гэж үзэж байна.
Сингх гайхсангүй. Тэрээр ISO болон RAR файл гэх мэт шахсан архивууд нь Office-д тулгуурладаггүй бөгөөд хортой кодыг бие даан ажиллуулж чаддаг гэж тайлбарлав. "Тактикаа өөрчлөх нь кибер гэмт хэрэгтнүүдийн стратегийн нэг хэсэг бөгөөд [хүмүүст халдварлах] хамгийн өндөр магадлалтай халдлагын арга барилд хүчин чармайлт гаргах нь ойлгомжтой."
Хортой программ агуулсан
ISO болон RAR файл зэрэг шахсан файлд хортой програм суулгах нь файлын бүтэц, форматыг шинжлэхэд чиглэсэн илрүүлэх аргаас зайлсхийхэд тусалдаг гэж Сингх тайлбарлав. "Жишээ нь, ISO болон RAR файлуудын олон илрүүлэлт нь файлын гарын үсэг дээр суурилдаг бөгөөд үүнийг ISO эсвэл RAR файлыг өөр шахалтын аргаар шахах замаар амархан устгаж болно."
Proofpoint-ийн мэдээлснээр тэдний өмнө хортой макро байдаг шиг эдгээр хортой програмаар дүүрсэн архивыг дамжуулах хамгийн түгээмэл арга бол имэйл юм.
Proofpoint-ийн судалгаа нь янз бүрийн цуутай заналхийлэгчидийн үйл ажиллагааг хянахад суурилдаг. Энэ нь Bumblebee болон Emotet хортой программыг түгээдэг бүлгүүд болон бусад хэд хэдэн кибер гэмт хэрэгтнүүд бүх төрлийн хортой программ хангамжид ашиглаж буй шинэ анхны хандалтын механизмуудыг ашиглаж байгааг ажиглав.
"ISO файлуудыг ашигласан (2021 оны 10-р сараас 2022 оны 6-р сарын хооронд) 15 аюул заналхийлэгчийн талаас илүү хувь нь 2022 оны 1-р сараас хойш кампанит ажилд ашиглаж эхэлсэн" гэж Proofpoint-г онцлон тэмдэглэв.
Аюул заналхийлсэн этгээдүүдийн тактикийн эдгээр өөрчлөлтөөс өөрийгөө хамгаалахын тулд Сингх хүмүүст хүсээгүй имэйлээс болгоомжлохыг зөвлөж байна. Тэрээр мөн хүмүүсийг эдгээр файлууд аюулгүй гэдэгт эргэлзэхгүй бол холбоос дээр дарж, хавсралтыг нээхээс сэрэмжлүүлж байна.
"Хавсралт бүхий мессеж хүлээж байгаа бол ямар ч эх сурвалжид бүү итгэ" гэж Сингх давтан хэлэв. "Итгэ, гэхдээ жишээ нь [хавсралт нээхээс] өмнө холбоо барих хүн рүү залгаж энэ нь таны найзаас ирсэн чухал имэйл үү эсвэл тэдний нууцлагдсан бүртгэлээс хортой имэйл үү гэдгийг шалгаарай."