يعد Excel 4.0 macro ، المعروف أيضا باسم XLM 4.0 macro ، ميزة تسجيل وتشغيل حميدة في Microsoft Excel تم تقديمها في عام 1992. يعد هذا الجزء من كود البرمجة حلا لأتمتة المهام المتكررة في Excel ، ولكن لسوء الحظ ، يعد أيضا بابا خلفيا سريا لتسليم البرامج الضارة.
مثل سابقتها ، ماكرو Visual Basic for Application (VBA) ، يتم استغلال ماكرو Excel 4.0 بشكل متزايد لتخزين البرامج الضارة المخفية. يمكن لممثلي التهديد تسليح هذه الميزة البالغة من العمر 30 عاما بسهولة لإنشاء تقنيات هجوم جديدة حيث يمكنهم تشويش كود XML لإخفاء وحدات الماكرو المشبوهة.
ما يجعل هذا متجه هجوم منتشر هو أن وحدات ماكرو Excel 4.0 هي مكون صيغة أساسي لقدرة Excel الأساسية. يتم استخدامها بانتظام عبر العمليات التجارية المختلفة ومن غير المرجح أن يتم تعطيلها أو إهمالها. لهذا السبب ، غالبا ما يتسلل مؤلفو البرامج الضارة إلى حمولة ضارة عبر رمز الماكرو إلى مستند Excel ويسلمونها كمرفق بريد إلكتروني ، كما فعلوا في أول حادث ماكرو 4.0.
أول هجوم ماكرو Excel 4.0
منذ الموجة الأولى من هجمات الماكرو 4.0 في منتصف فبراير 2020[1] ، اختار عدد كبير من مجرمي الإنترنت هذه التقنية. يتضمن ورقة متضررة بأمر ضار مخفي في صيغة ، يتم إرسالها كجزء من مرفق ملف Excel.
يستخدم المهاجمون تكتيكات الهندسة الاجتماعية لجذب الهدف لفتح الملف. عند الفتح ، يطلب من الضحية النقر فوق الزر "تمكين التحرير" ، والذي يمكن الماكرو الضار.
بعد الهجوم الأول، واصلت الجهات الفاعلة في التهديد الاستفادة من تقنية التهرب هذه لإنشاء المزيد من الهجمات، مع ارتفاعات من مايو إلى يوليو 2020[2].
وحدات الماكرو "المخفية جدا"
يمكن إدراج وحدات الماكرو خلسة وإخفائها في ملف Excel باستخدام استراتيجيات التشويش.
على سبيل المثال ، يتم تعيين ورقة على "مخفية جدا" ، مما يعني أنه لا يمكن الوصول إلى هذه الورقة بسهولة عبر واجهة مستخدم Excel ولا يمكن الكشف عنها دون مساعدة أداة خارجية. يمكن تشغيل وحدات الماكرو المخفية في ورقة Excel عبر استعلام الويب ، أو يمكنها تنزيل برامج ضارة عند تنفيذ صيغة. تستفيد الجهات الفاعلة في التهديد من هذه الثغرة لتقديم حمولات ضارة عبر تحميلات الملفات أو مرفقات البريد الإلكتروني واستغلال نقاط ضعف النظام لإنشاء ناقلات هجوم جديدة.
تم الاستفادة من هذا التكتيك ، مقترنا بحيل الهندسة الاجتماعية القائمة على الخوف من قبل المهاجمين للوصول عن بعد وتشغيل الأوامر على الأجهزة المخترقة. مرة أخرى في مايو 2020 ، تم إساءة استخدام التقنية لدرجة أن Microsoft اضطرت إلى تحذير الجمهور من حملة التصيد الاحتيالي ل COVID-19 [3]. أرسل المهاجمون رسائل بريد إلكتروني بعنوان "تقرير حالة COVID-19 لمنظمة الصحة العالمية" ، منتحلين شخصية مركز جون هوبكنز.
تحتوي ملفات Excel المرفقة على ماكرو ضار مخفي يقوم بتنزيل وتشغيل NetSupport Manager RAT - وهي أداة إدارة تسمح بالوصول عن بعد.
وقاية من الملفات المرفوعة الضارة
الترحيل إلى VBA
إدراكا لهذه المآثر ، تشجع Microsoft المستخدمين على التحول إلى Visual Basic for Applications (VBA) [4]. يمكن أن توفر واجهة فحص مكافحة البرامج الضارة (AMSI) المقترنة ب VBA تدقيقا عميقا لسلوكيات وحدات الماكرو في VBA ، مما يمكن النظام من البحث عن وحدات الماكرو المشبوهة والأنشطة الضارة الأخرى في وقت التشغيل.
دمج AMSI مع مايكروسوفت أوفيس
تتيح Microsoft أيضا تكامل AMSI مع Office 365 لتضمين فحص وقت التشغيل لوحدات ماكرو Excel 4.0 للمساعدة في اكتشاف البرامج الضارة المستندة إلى XLM وحظرها.
إزالة حمولات الماكرو وجميع البرامج الضارة باستخدام Deep CDR
تفترض تقنية الوقاية من التهديدات التي نقدمها أن جميع الملفات خبيثة، ثم تقوم بتعقيم كل ملف وإعادة بنائه، مما يضمن إمكانية الاستخدام الكامل بمحتوى آمن عند وصوله إلى المستخدمين. تعرف على المزيد حول كيفية Deep CDR تمنع تقنيات المراوغة في ملفات Excel وتقنيات الدوس على ملفات VBA الخبيثة.
بالإضافة إلى ذلك، يتيح OPSWAT للمستخدمين دمج العديد من التقنيات الخاصة لتوفير طبقات إضافية من الحماية من البرمجيات الضارة. أحد الأمثلة على ذلك هو Multiscanning ، والذي يسمح للمستخدمين بإجراء فحص متزامن مع أكثر من 30 محركًا لمكافحة البرمجيات الضارة (باستخدام الذكاء الاصطناعي/التعلم الآلي والتوقيعات والاستدلال وما إلى ذلك) لتحقيق معدلات اكتشاف تقترب من 100%. قارن هذا بمحرك واحد لمكافحة البرمجيات الضارة، والذي يمكنه في المتوسط اكتشاف 40%-80% فقط من الفيروسات.
اعرف المزيد عن Deep CDR, Multiscanningوالتقنيات الأخرى؛ أو تحدث إلى أحد خبراء OPSWAT لاكتشاف أفضل الحلول الأمنية للحماية من هجمات فورية والتهديدات الأخرى من البرمجيات الضارة المراوغة المتقدمة.
مراجع
1 جيمس هوغوم ، ستيفانو أورتولاني. "تطور تسليح الماكرو Excel 4.0." السطر الأخير. 2 يونيو 2020 ، https://www.lastline.com/labsb ....
2 بايبهاف سينغ. "تطور تسليح الماكرو Excel 4.0 - الجزء 2." في إم وير. 14 أكتوبر 2020. https://blogs.vmware.com/netwo....
3 مونكاستر. "مايكروسوفت تحذر من" ضخمة "#COVID19 RAT." مجلة أمن المعلومات. مايو 21, 2020, https://www.infosecurity-magaz....
4 "XLM + AMSI: دفاع جديد عن وقت التشغيل ضد البرامج الضارة لماكرو Excel 4.0". مايكروسوفت. 3 مارس 2021. XLM + AMSI: دفاع جديد ضد برامج الماكرو الضارة في Excel 4.0 | مدونة أمان Microsoft.
