Հիմնական տանողներ
- Մակրոներն արգելափակելու Microsoft-ի որոշումը սպառնալիքի դերակատարներից կզրկվի չարամիտ ծրագրերի տարածման այս հայտնի միջոցից:
- Սակայն, հետազոտողները նշում են, որ կիբերհանցագործներն արդեն փոխել են մարտավարությունը և զգալիորեն կրճատել են մակրոների օգտագործումը չարամիտ ծրագրերի վերջին արշավներում:
- Մակրոների արգելափակումը ճիշտ ուղղությամբ քայլ է, սակայն, ի վերջո, մարդիկ պետք է ավելի զգոն լինեն վարակվելուց խուսափելու համար, առաջարկում են փորձագետները:
Մինչ Microsoft-ը որոշեց արգելափակել լռելյայն մակրոները Microsoft Office-ում, սպառնալիքների դերակատարները շտապեցին հաղթահարել այս սահմանափակումը և մշակել հարձակման նոր վեկտորներ:
Անվտանգության մատակարար Proofpoint-ի նոր հետազոտության համաձայն՝ մակրոներն այլևս չարամիտ ծրագրերի տարածման սիրելի միջոցները չեն: Ընդհանուր մակրոների օգտագործումը նվազել է մոտավորապես 66%-ով 2021 թվականի հոկտեմբերից մինչև 2022 թվականի հունիսը: Մյուս կողմից, ISO ֆայլերի օգտագործումը (սկավառակի պատկեր) գրանցել է ավելի քան 150% աճ, մինչդեռ LNK-ի օգտագործումը (Windows File Shortcut) ֆայլերը նույն ժամանակահատվածում ավելացել են ապշեցուցիչ 1,675%-ով: Այս ֆայլերի տեսակները կարող են շրջանցել Microsoft-ի մակրո արգելափակման պաշտպանությունը:
«Սպառնալիքների դերակատարները, որոնք հեռանում են էլփոստով մակրո վրա հիմնված կցորդների ուղղակի բաշխումից, զգալի տեղաշարժ է սպառնալիքի լանդշաֆտում», - ասաց Proofpoint-ի սպառնալիքների հետազոտման և հայտնաբերման փոխնախագահ Շերրոդ Դե Գրիպոն: «Սպառնալիքներն այժմ նոր մարտավարություն են որդեգրում չարամիտ ծրագրեր տրամադրելու համար, և ակնկալվում է, որ կշարունակվի ֆայլերի ավելացված օգտագործումը, ինչպիսիք են ISO, LNK և RAR»::
Շարժվում ենք ժամանակների հետ
Lifewire-ի հետ էլեկտրոնային փոստի փոխանակման ժամանակ կիբերանվտանգության ծառայություններ մատուցող Cyphere-ի տնօրեն Հարման Սինգհը նկարագրեց մակրոները որպես փոքր ծրագրեր, որոնք կարող են օգտագործվել Microsoft Office-ում առաջադրանքների ավտոմատացման համար, ընդ որում XL4 և VBA մակրոները հանդիսանում են ամենատարածված մակրոները: Գրասենյակի օգտվողներ։
Կիբերհանցագործության տեսանկյունից՝ Սինգհն ասաց, որ սպառնալիքի դերակատարները կարող են մակրոներ օգտագործել որոշ բավականին տհաճ հարձակման արշավների համար: Օրինակ, մակրոները կարող են տուժողի համակարգչում գործարկել կոդի վնասակար տողեր՝ ունենալով նույն արտոնությունները, ինչ մուտք գործած անձը: Սպառնալիքի դերակատարները կարող են չարաշահել այս հասանելիությունը՝ վտանգված համակարգչից տվյալների արտազատման կամ նույնիսկ չարամիտ սերվերներից լրացուցիչ վնասակար բովանդակություն գրավելու համար՝ ավելի վնասակար չարամիտ ծրագրեր ներգրավելու համար:
Սակայն, Սինգհը շտապեց ավելացնել, որ Office-ը համակարգչային համակարգերը վարակելու միակ միջոցը չէ, բայց «այն ամենահայտնի [թիրախներից] մեկն է՝ շնորհիվ գրեթե բոլորի կողմից Ինտերնետում Office փաստաթղթերի օգտագործման: «
Սպառնալիքի մեջ տիրելու համար Microsoft-ը սկսեց պիտակավորել որոշ փաստաթղթեր անվստահելի վայրերից, ինչպիսին է ինտերնետը, վեբ նշանի (MOTW) հատկանիշով, որը ծածկագրի մի շարան է, որը նշում է անվտանգության առանձնահատկությունները::
Իրենց հետազոտության մեջ Proofpoint-ը պնդում է, որ մակրոների օգտագործման նվազումը ուղղակի պատասխան է Microsoft-ի՝ MOTW հատկանիշը ֆայլերին հատկորոշելու որոշմանը:
Սինգհը զարմացած չէ. Նա բացատրեց, որ սեղմված արխիվները, ինչպիսիք են ISO և RAR ֆայլերը, չեն հիմնվում Office-ի վրա և կարող են ինքնուրույն գործարկել վնասակար կոդ: «Ակնհայտ է, որ մարտավարության փոփոխությունը կիբերհանցագործների ռազմավարության մի մասն է՝ ապահովելու, որ նրանք ջանքեր են գործադրում հարձակման լավագույն մեթոդի վրա, որն ունի [մարդկանց վարակելու] ամենաբարձր հավանականությունը»::
Պարունակող չարամիտ
Չարամիտ ծրագրերի ներդրումը սեղմված ֆայլերում, ինչպիսիք են ISO և RAR ֆայլերը, նաև օգնում է խուսափել հայտնաբերման մեթոդներից, որոնք կենտրոնանում են ֆայլերի կառուցվածքի կամ ձևաչափի վերլուծության վրա, բացատրեց Սինգհը: «Օրինակ, ISO և RAR ֆայլերի շատ հայտնաբերումներ հիմնված են ֆայլերի ստորագրությունների վրա, որոնք հեշտությամբ կարելի է հեռացնել՝ սեղմելով ISO կամ RAR ֆայլը սեղմման այլ եղանակով»:
Ըստ Proofpoint-ի, ինչպես և նրանցից առաջ վնասակար մակրոները, չարամիտ ծրագրերով բեռնված այս արխիվները տեղափոխելու ամենատարածված միջոցը էլփոստն է:
Proofpoint-ի հետազոտությունը հիմնված է տարբեր հայտնի սպառնալիքների դերակատարների գործունեությանը հետևելու վրա: Այն նկատեց, թե ինչպես են օգտագործում նոր սկզբնական մուտքի մեխանիզմները, որոնք օգտագործվում են խմբերի կողմից, որոնք տարածում են Bumblebee, և Emotet չարամիտ ծրագիրը, ինչպես նաև մի քանի այլ կիբերհանցագործներ՝ բոլոր տեսակի չարամիտ ծրագրերի համար:
«15 հետևված սպառնալիքների դերակատարների կեսից ավելին, որոնք օգտագործում էին ISO ֆայլերը [2021 թվականի հոկտեմբերից մինչև 2022 թվականի հունիսը] սկսեցին օգտագործել դրանք արշավներում 2022 թվականի հունվարից հետո», - ընդգծել է Proofpoint-ը:
Որպեսզի պաշտպանեք ձեր պաշտպանությունը սպառնալիքների դերակատարների մարտավարության այս փոփոխություններից, Սինգհն առաջարկում է մարդկանց զգուշանալ չպահանջված էլ. Նա նաև զգուշացնում է մարդկանց չսեղմել հղումները և բացել կցորդները, եթե նրանք կասկածից վեր վստահ չեն, որ այս ֆայլերը անվտանգ են:
«Մի վստահեք ոչ մի աղբյուրի, քանի դեռ չեք սպասում հավելվածով հաղորդագրություն», - կրկնեց Սինգհը: «Վստահեք, բայց հաստատեք, օրինակ, զանգահարեք կոնտակտին նախքան [կցորդը բացելը]՝ տեսնելու, թե դա իսկապես կարևոր նամակ է ձեր ընկերոջից, թե վնասակար նամակ է նրանց վտանգված հաշիվներից:«