A biztonsági kutatók ismét bebizonyították, hogy a Microsoft miért ismeri el, hogy "aváratlan makrók jelentős biztonsági kockázatot jelenthetnek". Egy nemrégiben megjelent blogbejegyzésben a biztonsági kutatók elmagyarázzák, hogy a támadók hogyan használják a makrókat a ZLoader, egy rosszindulatú banki trójai letöltésére és futtatására anélkül, hogy az eredeti fájlban bármilyen rosszindulatú kód jelen lenne.
A támadás anatómiája egy ártalmatlan Microsoft Word dokumentummal kezdődik, amely a makrókat kihasználva letölt egy Microsoft Excel dokumentumot. Ez ezt követően új makrót hoz létre az XLS fájlban, és frissíti a rendszerleíró adatbázis-házirendet az Excel makró figyelmeztetés letiltására. Ennek következtében az Excel fájl minden figyelmeztetés nélkül végre tudja hajtani a rosszindulatú makrót a ZLoader letöltésére.
Mint oly sok más támadás, a Microsoft Word dokumentumot is adathalász e-mailben küldik. Ez a különleges támadási lánc azonban azért újszerű, mert a kezdeti makrót valószínűleg egyetlen vírusirtó vagy rosszindulatú programok elleni program sem észleli. Természetesen sok szervezet alapértelmezett irányelvként letiltja a makrókat, de ez a kezdeti Microsoft Word dokumentum úgy van formázva, hogy a felhasználókat a "Szerkesztés engedélyezése" és a "Tartalom engedélyezése" felszólítja.
A társadalmi tervezés és a technikai kihasználás kombinációja teszi ezt a fajta támadást olyan hatékonnyá.
A vírus- és kártevőirtó motorok még egy jó napon is nehezen tudnak lépést tartani az új fenyegetések mennyiségével, és rendkívül érzékenyek a nulladik napi fenyegetésekre. A OPSWAT kutatásaiból kiderül, hogy több mint 30 vírus- és kártevőirtó motorra van szükség ahhoz, hogy a felismerési arány meghaladja a 99 százalékot, így a többszörös szkennelési megoldások jelentősen csökkenthetik a látens kártevők felderítési idejét. Még a hagyományos homokozókat is ki lehet kerülni, mivel a rosszindulatú programok egyre kifinomultabbá válnak. Az új fenyegetések, mint például ez a ZLoader makró, különösen hatékonyan elkerülik a felismerést.
Trust No File
A "senkiben sem bízunk" bölcsességével a felhasználók és eszközök biztonságának egyre népszerűbb módszerévé vált a zéró bizalom biztonsági modellje, de ugyanezt a bölcsességet ritkán terjesztik ki a fájlok biztonságára. Mostanra már nyilvánvalónak kellene lennie, mivel a vírusirtók és a rosszindulatú szoftverek elleni motorok továbbra is küzdenek a felismerési arányukkal, hogy a szervezeteknek szintén "nem szabadna bízniuk egyetlen fájlban sem".
Ha egy szervezet feltételezi, hogy minden fájl rosszindulatú, akkor megvizsgálhatja, majd a CDR (Content Disarm and Reconstruction) technológiával szanálhatja adatait.
Először is a CDR minden fájlt különálló összetevőkre bont, ahol minden elem azonosítva van. Általában a magas kockázatú makrókat eltávolítja, ezáltal kiküszöbölve a potenciálisan rosszindulatú tartalmakat. Ezután a CDR gyorsan és biztonságosan rekonstruálja a fájlt a tisztított összetevőkből, megőrizve a metaadatokat és a fájl jellemzőit. Emellett az ügyfelek engedélyezhetik a megtartani kívánt makrók listázását is. A rekonstruált fájlok a fájlszerkezet integritásának megőrzésével, a használhatóság csökkenése nélkül jutnak el a végfelhasználókhoz. .
A Deep CDR több mint 100 gyakori fájltípust szanál és rekonstruál, és több mint 4500 fájltípust ellenőriz. A Deep CDR átlagosan 30-szor gyorsabb, mint a legtöbb dinamikus elemzési technológia, és képes blokkolni a hagyományos sandbox-környezetek kijátszására tervezett rosszindulatú szoftvereket. A Deep CDR integrálható az OPSWAT Multiscanning, a proaktív adatvesztés-megelőzés (DLP) és a fájlalapú sebezhetőség-értékelési technológiákba is.
Nem számít, hogy a szervezetek keresik-e a rosszindulatú fájlokat, ha a támadók makrókkal megkerülhetik az észlelést. Nem számít, hogy a Microsoft figyelmezteti-e a felhasználókat a makrók biztonsági kockázatára, ha a támadók ki tudják kapcsolni ezeket a figyelmeztetéseket. Nem számít, ha a szervezetek letiltják a makrókat, ha a támadók a szociális mérnöki tevékenységet kihasználva rávehetik a felhasználókat, hogy újra aktiválják a makrókat.
Ami igazán számít, az a "ne bízz a fájlokban" mentalitás elfogadása, valamint a filozófia megvalósításához szükséges irányelvek és ellenőrzések megléte.
OPSWAT segíthet. Vegye fel a kapcsolatot kiberbiztonsági szakértőinkkel még ma, ha többet szeretne megtudni arról, hogyan lehet az adatokat a Deep CDR segítségével szanálni.
