Az Excel 4.0 makró, más néven XLM 4.0 makró a Microsoft Excel egy jóindulatú rögzítési és lejátszási funkciója, amelyet még 1992-ben vezettek be. Ez a programozási kódrészlet megoldást jelent az Excelben az ismétlődő feladatok automatizálására, de sajnos egyben egy rejtett hátsó ajtó is a rosszindulatú programok terjesztéséhez.
Elődjéhez, a Visual Basic for Application (VBA) makróhoz hasonlóan az Excel 4.0 makrót is egyre gyakrabban használják rejtett kártevők tárolására. A fenyegető szereplők könnyen fegyverként használhatják ezt a 30 éves funkciót új támadási technikák létrehozására, mivel az XML-kódot el tudják homályosítani a gyanús makrók elrejtése érdekében.
Ezt az teszi ilyen elterjedt támadási vektorrá, hogy az Excel 4.0 makrók az Excel alapvető képletkomponensei. Rendszeresen használják őket különböző üzleti folyamatokban, és nem valószínű, hogy letiltják vagy elavulttá teszik őket. Emiatt a rosszindulatú programok szerzői gyakran a makró kódján keresztül juttatnak rosszindulatú hasznos terhet egy Excel-dokumentumba, és azt e-mail mellékletként juttatják el, ahogyan azt a legelső makró 4.0 incidensben is tették.
Az első Excel 4.0 makró támadás
A makro 4.0 támadások 2020. február közepén történt első hulláma óta[1] számos kiberbűnöző alkalmazza ezt a technikát. Ennek lényege, hogy egy Excel-fájl csatolmány részeként egy képletbe rejtett rosszindulatú parancsot tartalmazó fertőzött lapot küldenek el.
A támadók social engineering taktikát alkalmaznak, hogy a célpontot a fájl megnyitására csábítsák. Megnyitáskor az áldozatot arra kérik, hogy kattintson a "Szerkesztés engedélyezése" gombra, amely aktiválja a rosszindulatú makrót.
Az első támadást követően a fenyegető szereplők továbbra is ezt a kikerülési technikát használták ki további támadások létrehozására, amelyek 2020 májusa és júliusa között tetőztek[2].
"Nagyon rejtett" makrók
A makrókat lopakodva be lehet illeszteni és el lehet rejteni egy Excel-fájlba az elrejtési stratégiák segítségével.
Például egy lap "Nagyon rejtett" értékre van állítva, ami azt jelenti, hogy ez a lap nem könnyen hozzáférhető az Excel felhasználói felületén keresztül, és külső eszköz segítségével nem lehet feltárni. Az Excel-táblában elrejtett makrók webes lekérdezéssel indíthatók, vagy a képlet végrehajtásakor rosszindulatú programokat tölthetnek le. A fenyegető szereplők kihasználják ezt a kiskaput, hogy rosszindulatú hasznos terheléseket juttassanak el fájlfeltöltéseken vagy e-mail mellékleteken keresztül, és a rendszer sebezhetőségeit kihasználva új támadási vektorokat hozzanak létre.
Ezt a taktikát, valamint a félelem-alapú social engineering trükköket a támadók arra használták, hogy távoli hozzáférést szerezzenek és parancsokat futtassanak a veszélyeztetett eszközökön. Még 2020 májusában a technikával olyannyira visszaéltek, hogy a Microsoftnak figyelmeztetnie kellett a nyilvánosságot egy COVID-19 adathalászkampányra[3]. A támadók "WHO COVID-19 SITUATION REPORT" tárgyú e-maileket küldtek ki, a John Hopkins Központnak adva ki magukat.
A csatolt Excel-fájlok egy rejtett rosszindulatú makrót tartalmaznak, amely letölti és futtatja a NetSupport Manager RAT-ot - egy olyan adminisztrációs eszközt, amely lehetővé teszi a távoli hozzáférés megszerzését.
Védelem a rosszindulatú fájlfeltöltések ellen
VBA-ra való áttérés
Mivel a Microsoft tisztában van ezekkel az exploitokkal, arra ösztönzi a felhasználókat, hogy térjenek át a Visual Basic for Applications (VBA)[4] használatára. A VBA-val párosított Antimalware Scan Interface (AMSI) képes a VBA-ban a makrók viselkedésének mélyreható vizsgálatára, lehetővé téve a gyanús makrók és egyéb rosszindulatú tevékenységek futásidejű keresését.
Az AMSI és a Microsoft Office integrálása
A Microsoft lehetővé teszi az AMSI Office 365-tel való integrációját is, amely magában foglalja az Excel 4.0 makrók futásidejű vizsgálatát az XLM-alapú rosszindulatú programok észlelése és blokkolása érdekében.
Makró hasznos terhek és minden rosszindulatú szoftver eltávolítása a Deep CDR
A fenyegetésmegelőző technológiánk feltételezi, hogy minden fájl rosszindulatú, majd minden egyes fájlt fertőtlenít és újraépít, így biztosítva a teljes használhatóságot biztonságos tartalommal, mire az eljut a felhasználókhoz. Tudjon meg többet arról, hogyan Deep CDR hogyan akadályozza meg az Excel-fájlokban található kitérő technikákat és a VBA-t eltaposó maldoc-technikákat.
az OPSWAT emellett lehetővé teszi a felhasználók számára, hogy több saját technológiát is integráljanak, hogy a rosszindulatú szoftverek elleni védelem további rétegeit biztosítsák. Ilyen például a Multiscanning, amely lehetővé teszi a felhasználók számára, hogy egyidejűleg több mint 30 rosszindulatú szoftver elleni motorral (AI/ML, szignatúrák, heurisztikák stb. felhasználásával) végezzenek vizsgálatot, és így 100%-ot megközelítő felismerési arányt érjenek el. Hasonlítsa ezt össze egyetlen AV-motorral, amely átlagosan csak a vírusok 40-80%-át képes felismerni.
Tudjon meg többet a Deep CDR, a Multiscanning és más technológiákról; vagy beszéljen az OPSWAT szakértőjével, hogy felfedezze a legjobb biztonsági megoldást a nulladik napi támadások és más, fejlett, kitérő rosszindulatú szoftverek által jelentett fenyegetések elleni védelemhez.
Hivatkozások
1 James Haughom, Stefano Ortolani. "Az Excel 4.0 makrofegyverek fejlesztése". Lastline. 2020. június 2., https://www.lastline.com/labsb.....
2 Baibhav Singh. "Az Excel 4.0 makrófegyverkezésének evolúciója - 2. rész". VMware. Október 14, 2020. https://blogs.vmware.com/netwo....
3 Phil Muncaster ."A Microsoft figyelmeztet a "masszív" #COVID19 RAT-ra". Infosecurity Magazine. May 21, 2020. https://www.infosecurity-magaz....
4 "XLM + AMSI: New runtime defense against Excel 4.0 macro malware" (XLM + AMSI: Új futásidejű védelem az Excel 4.0 makró malware ellen). Microsoft. March 3, 2021. XLM + AMSI: Új futásidejű védelem az Excel 4.0 makró malware ellen | Microsoft Security Blog.
