Возвращение макроатак

Введение

Помнишь Мелиссу-вирус? Еще в 1999 году печально известный быстро распространяющийся макровирус распространялся в виде вложения электронной почты. При открытии вложения защита в Word 1997 и Word 2000 отключалась. Пользователи с Microsoft Outlook ускорили распространение, поскольку вирус был отправлен на первые 50 контактов в адресной книге каждого пользователя. Вирус Melissa заставил всех насторожиться (даже Microsoft отключил входящие электронные письма) и успешно уничтожил его. В 1990-х макросы Word процветали. После вируса Melissa Microsoft была вынуждена пересмотреть свою безопасность и отнестись к ней более серьезно. Microsoft по умолчанию отключила автоматические сценарии, тем самым заставив злоумышленников попробовать альтернативные методы атаки.

Эта старая форма атаки вернулась, и в отличие от вредоносных программ 90-х годов, основанных на макросах, современные макросы являются более сложными, искусно замаскированными и часто зашифрованными, в результате чего их становится очень сложно обнаружить. Microsoft говорит, что в последнее время они отметили увеличение количества загружаемых макросов, и это затронуло более 500 000 машин по всему миру. Недавние вредоносные программы такого типа включают «Dridex», банковский троян, а последним является «Locky», который является крипто-вымогателем.

«Locky» работает, маскируя себя под счет-фактуру, и включает прикрепленный документ Word. Когда файл открыт и макросы включены, крипто-вымогатель блокирует файлы, а записка о выкупе требует оплаты за ключ дешифрования, не оставляя многим организациям иного выбора, кроме как подчиниться.

Злоумышленники используют простые уловки социальной инженерии и простой визуальный базовый сценарий, чтобы легко выполнять свои атаки. В очередной раз, из-за наплыва вредоносных программ на основе макросов, Microsoft была вынуждена пересмотреть свою безопасность и выпустила новую функцию, помогающую защитить организации от угроз новых и увеличивающихся вредоносных программ на основе макросов. Это ожидается благодаря выпуску новой функции блокировки макросов для Office 2016.

Что такое вредоносное ПО на основе макросов и почему оно возвращается?

Макросы — это набор команд или кодов, предназначенных для автоматизации определенных функций. Они могут быть выгодны, и поэтому они обычно используются организациями для экономии времени на повторяющихся задачах (в таких программах, как Microsoft Word или Excel), поскольку программы Microsoft Office поддерживают макросы, написанные на Visual Basic. Однако макросы также могут использоваться злонамеренно. Любой может написать макрос для автоматизации множества задач; это включает создание макросов, которые могут запускать вредоносное программное обеспечение на устройстве или машине.

Вредоносное ПО на основе макросов зависит от вероятности того, что пользователь включит его, и вероятность этого велика, учитывая объемы электронных писем, которые ежедневно получает каждая компания. Достаточно одного пользователя, чтобы ошибиться и начать процесс.

Путешествие с макросами обычно каждый раз следует одному и тому же курсу. Электронное письмо, содержащее какую-либо убедительную информацию, обычно в строке темы, побуждающую пользователя открыть спам-вложение, загрузить и открыть файл, содержащий макрос. Макрос может впоследствии загрузить и установить вредоносное ПО на машину, в результате чего машина/система будет скомпрометирована. Документы обычно в формате Word, но могут быть и в формате Office, таком как Excel.

Макроугрозы, похоже, вымерли, и до недавнего времени им не уделялось должного внимания. Почему вредоносное ПО на основе макросов так сильно вернулось? Может быть, эта форма атаки стала проще благодаря популярности социальных сетей? Это легкий путь атаки с высокой вероятностью успеха? Считается, что возобновление атак во многом обусловлено социальной инженерией, и способ, которым люди свободно взаимодействуют в социальных сетях, поощряет это. Усовершенствования безопасности программного обеспечения компаниями для предотвращения выполнения вредоносного кода также могли побудить злоумышленников рассмотреть более старые и работоспособные формы атак. Старые формы атак предоставляют злоумышленникам полезную возможность на случай непредвиденных обстоятельств, когда меры противодействия и улучшения безопасности останавливают распространение вредоносных приложений. Атрибут человеческой наивности и ошибки всегда будет сохраняться, и злоумышленники могут положиться на это. Из-за любопытства или трепета кто-то попадется на их уловку, и злоумышленник преуспеет в своих усилиях.

Благодаря первоначальным улучшениям безопасности Microsoft, отключению макросов по умолчанию, злоумышленники теперь в значительной степени полагаются на аспект социальной инженерии и способность создать убедительную аферу. Успех недавних атак показывает, что эти атаки работают, и поэтому можно ожидать, что эта форма атак сохранится в обозримом будущем.

Как предотвратить атаку на основе макросов?

Разочарование от этого типа атаки заключается в том, что нет абсолютной гарантии того, что пользователь по ошибке не откроет документ в электронном письме и не активирует вредоносный макрос. Очень вероятно, что это произойдет.

Пользователям важно быть осторожными и поддерживать ОС Windows и Office в актуальном состоянии — всегда устанавливайте для них исправления. Убедитесь, что в организации имеется надежное решение безопасности для защиты от вредоносных программ и их обнаружения. Всегда рекомендуется многоуровневый подход, сочетание лучших решений для защиты от вредоносных программ, спама, а также решений для защиты и обнаружения.

Лучше не включать макросы для документов, полученных из неизвестного источника.

Если организация не использует макросы для повседневных задач, всегда лучше полностью отключить их.

В качестве альтернативы можно предпринять шаги для защиты от этого типа атак, применяя уже доступные средства смягчения в Office и используя новую функцию блокировки макросов для Office 2016.

Новая функция для Office 2016

Макровирусы почти вымерли после того, как Microsoft отключила макросы по умолчанию в своих программах Office. Параметр по умолчанию для блокировки макросов во всех документах уже некоторое время является включенной функцией, но эта функция позволяет пользователям обойти ограничение, тем самым подвергая пользователя и организацию риску заражения. В связи с увеличением угроз, основанных на макросах, Microsoft стремилась предоставить улучшенную функцию. Параметр групповой политики («блокировать запуск макросов в файлах Office из Интернета») можно использовать для отключения макросов в документах Office, полученных из определенных мест с высоким риском. Пользователь не может обойти эту настройку; пользователь не может случайно заразить машину, так как этот параметр включен в групповой политике администратором.

Эта функция в Office 2016 блокирует загрузку макросов в определенных обстоятельствах с высокой степенью риска, таких как документы, загруженные из Интернета или поставщиков хранилищ (Dropbox, OneDrive и Google Диск), вложения документов, отправленные из-за пределов организации, и документы из общего доступа к файлам или общедоступные обмен. Организации могут определять использование макросов для конкретных ситуаций и блокировать другие макросы, что позволяет лучше контролировать использование макросов. Этой функцией можно не только управлять с помощью групповой политики, но и настраивать ее для каждого приложения. Элемент групповой политики можно включить для Word, Excel и PowerPoint. Наконец, если пользователь пытается включить макрос, пользователю выдается строгое уведомление/предупреждение, и он направляется к администратору.

Вывод

Заметный рост угроз, основанных на макросах, был отмечен выпуском новой функции блокировки макросов Microsoft для Office 2016. Организации не должны расслабляться, поскольку этот тип угроз, хотя и старый, растет, становится все более изощренным и более опасным. трудно узнать, чем раньше. Мало того, что мы отмечаем возрождение атак на основе макросов, вполне вероятно, что эти атаки будут продолжаться в течение некоторого времени. Организации должны принимать все возможные меры предосторожности и, прежде всего, проявлять бдительность. Новая функция, выпущенная для Office 2016, будет полезна организациям, чтобы лучше позиционировать себя, и должна помочь предотвратить эту растущую угрозу.