Önemli Bilgiler
- Microsoft'un makroları engelleme kararı, tehdit aktörlerini bu popüler kötü amaçlı yazılım dağıtma yönteminden mahrum bırakacak.
- Ancak araştırmacılar, siber suçluların halihazırda taktikleri değiştirdiğini ve son zamanlardaki kötü amaçlı yazılım kampanyalarında makro kullanımını önemli ölçüde az alttığını belirtiyor.
- Makroları engellemek doğru yönde atılmış bir adımdır, ancak günün sonunda, uzmanlara göre insanların virüs bulaşmasını önlemek için daha uyanık olması gerekiyor.
Microsoft, Microsoft Office'te varsayılan olarak makroları engellemeye karar verirken, tehdit aktörleri bu sınırlamayı aşmak ve yeni saldırı vektörleri tasarlamak için hızlı davrandılar.
Güvenlik sağlayıcısı Proofpoint tarafından yapılan yeni araştırmaya göre, makrolar artık kötü amaçlı yazılımları dağıtmanın favori yolu değil. Ortak makroların kullanımı Ekim 2021 ile Haziran 2022 arasında yaklaşık %66 azaldı. Öte yandan, ISO dosyalarının (bir disk görüntüsü) kullanımı %150'nin üzerinde bir artış kaydetti, LNK (Windows Dosya Kısayolu) kullanımı ise %150'nin üzerinde bir artış kaydetti. dosyalar aynı zaman diliminde şaşırtıcı bir şekilde %1,675 arttı. Bu dosya türleri Microsoft'un makro engelleme korumalarını atlayabilir.
Proofpoint Tehdit Araştırması ve Tespiti Başkan Yardımcısı Sherrod DeGrippo bir basın açıklamasında, "Tehdit aktörlerinin e-postada makro tabanlı ekleri doğrudan dağıtmaktan uzaklaşarak tehdit ortamında önemli bir değişimi temsil ettiğini" söyledi. "Tehdit aktörleri artık kötü amaçlı yazılım dağıtmak için yeni taktikler benimsiyor ve ISO, LNK ve RAR gibi dosyaların artan kullanımının devam etmesi bekleniyor."
Zamanla Hareket Etme
Siber güvenlik hizmeti sağlayıcısı Cyphere Direktörü Harman Singh, Lifewire ile yaptığı bir e-posta alışverişinde makroları Microsoft Office'te görevleri otomatikleştirmek için kullanılabilecek küçük programlar olarak tanımladı. Ofis kullanıcıları.
Siber suç perspektifinden Singh, tehdit aktörlerinin bazı oldukça kötü saldırı kampanyaları için makroları kullanabileceğini söyledi. Örneğin, makrolar, oturum açan kişiyle aynı ayrıcalıklara sahip bir kurbanın bilgisayarında kötü amaçlı kod satırları yürütebilir. Tehdit aktörleri, güvenliği ihlal edilmiş bir bilgisayardan veri sızdırmak için bu erişimi kötüye kullanabilir veya daha da fazla zarar veren kötü amaçlı yazılımları çekmek için kötü amaçlı yazılımın sunucularından ek kötü amaçlı içerik bile alabilir.
Ancak Singh, Office'in bilgisayar sistemlerine bulaşmanın tek yolu olmadığını, ancak "Office belgelerinin İnternet'teki hemen hemen herkes tarafından kullanılması nedeniyle en popüler [hedeflerden] biri olduğunu hemen ekledi."
Tehdide hakim olmak için Microsoft, internet gibi güvenilmeyen konumlardan bazı belgeleri, tetikleyici güvenlik özelliklerini belirten bir kod dizisi olan Web İşareti (MOTW) özelliğiyle etiketlemeye başladı.
Araştırmalarında Proofpoint, makro kullanımındaki düşüşün Microsoft'un MOTW özniteliğini dosyalara etiketleme kararına doğrudan bir yanıt olduğunu iddia ediyor.
Singh şaşırmadı. ISO ve RAR dosyaları gibi sıkıştırılmış arşivlerin Office'e güvenmediğini ve kendi başlarına kötü amaçlı kod çalıştırabileceğini açıkladı. "Taktik değiştirmenin, siber suçluların çabalarını [insanlara bulaşma] olasılığı en yüksek olan en iyi saldırı yöntemine koymalarını sağlama stratejisinin bir parçası olduğu açık."
Kötü Amaçlı Yazılım İçeren
Singh, ISO ve RAR dosyaları gibi sıkıştırılmış dosyalara kötü amaçlı yazılım gömmek, dosyaların yapısını veya biçimini analiz etmeye odaklanan algılama tekniklerinden kaçınmaya da yardımcı olur, diye açıkladı Singh. "Örneğin, ISO ve RAR dosyaları için birçok algılama, bir ISO veya RAR dosyasını başka bir sıkıştırma yöntemiyle sıkıştırarak kolayca kaldırılabilen dosya imzalarına dayanır."
Proofpoint'e göre, onlardan önceki kötü amaçlı makrolar gibi, bu kötü amaçlı yazılım yüklü arşivleri taşımanın en popüler yolu e-postadır.
Proofpoint'in araştırması, kötü üne sahip çeşitli tehdit aktörlerinin izleme etkinliklerine dayanmaktadır. Bumblebee ve Emotet kötü amaçlı yazılımını dağıtan grupların yanı sıra diğer birkaç siber suçlu tarafından her türlü kötü amaçlı yazılım için kullanılan yeni ilk erişim mekanizmalarının kullanıldığını gözlemledi.
"[Ekim 2021 ile Haziran 2022 arasında] ISO dosyalarını kullanan 15 izlenen tehdit aktörünün yarısından fazlası, bunları Ocak 2022'den sonra kampanyalarda kullanmaya başladı, ", Proofpoint'i vurguladı.
Tehdit aktörlerinin taktiklerindeki bu değişikliklere karşı savunmanızı güçlendirmek için Singh, insanların istenmeyen e-postalara karşı dikkatli olmalarını öneriyor. Ayrıca insanları, bu dosyaların güvenli olduğundan kesinlikle emin olmadıkları sürece bağlantıları tıklamaya ve ekleri açmaya karşı uyarır.
"Ek içeren bir mesaj beklemiyorsanız hiçbir kaynağa güvenmeyin", diye tekrarladı Singh. "Güven, ancak doğrulayın, örneğin, arkadaşınızdan gelen gerçekten önemli bir e-posta mı yoksa güvenliği ihlal edilmiş hesaplarından gelen kötü niyetli bir e-posta mı olduğunu görmek için [bir eki açmadan] önce kişiyi arayın."
