أظهر باحثو الأمن مرة أخرى سبب اعتراف Microsoft بأن "وحدات الماكرو غير المتوقعة يمكن أن تشكل خطرا أمنيا كبيرا". في منشور مدونة حديث ، يشرح باحثو الأمن كيف يستخدم المهاجمون وحدات الماكرو لتنزيل وتنفيذ ZLoader ، وهو حصان طروادة مصرفي ضار ، دون وجود أي رمز ضار في الملف الأولي.
يبدأ تشريح الهجوم بمستند Microsoft Word غير ضار ، والذي يستفيد من وحدات الماكرو لتنزيل مستند Microsoft Excel. يؤدي هذا لاحقا إلى إنشاء ماكرو جديد في ملف XLS وتحديث نهج التسجيل لتعطيل تحذير ماكرو Excel. وبالتالي ، يمكن لملف Excel تنفيذ الماكرو الضار الخاص به لتنزيل ZLoader دون أي تحذير.
مثل العديد من الهجمات الأخرى ، يتم تسليم مستند Microsoft Word الأولي كبريد إلكتروني للتصيد الاحتيالي. ومع ذلك ، فإن سلسلة الهجوم هذه جديدة لأنه من غير المحتمل أن يتم اكتشاف الماكرو الأولي بواسطة أي محرك لمكافحة الفيروسات أو مكافحة البرامج الضارة. بالطبع ، تقوم العديد من المؤسسات بتعطيل وحدات الماكرو كسياسة افتراضية ، ولكن يتم تنسيق مستند Microsoft Word الأولي هذا بطريقة تحث المستخدمين على "تمكين التحرير" و "تمكين المحتوى".
هذا المزيج من الهندسة الاجتماعية والاستغلال التقني هو ما يجعل هذا النوع من الهجوم فعالا للغاية.
حتى في الأيام الجيدة، تكافح محركات مكافحة الفيروسات والبرامج الضارة لمواكبة حجم التهديدات الجديدة، وهي معرضة بشكل كبير لتهديدات يوم الصفر. كشفت OPSWAT أن الأمر يتطلب أكثر من 30 محركًا لمكافحة الفيروسات والبرامج الضارة للوصول إلى معدلات كشف تزيد عن 99 في المائة، وبالتالي حلول تقلل حلول الفحص المتعدد بشكل كبير من أوقات بقاء البرامج الضارة الكامنة. حتى الصناديق الرملية التقليدية يمكن التهرب منها مع تزايد تعقيد البرامج الضارة. التهديدات الجديدة، مثل ماكرو ZLoader هذا، فعالة بشكل ملحوظ في تجنب الكشف.
لا تثق بأي ملف
أصبح نموذج أمان انعدام الثقة طريقة شائعة بشكل متزايد لتأمين المستخدمين والأجهزة بحكمته المتمثلة في "عدم الوثوق بأحد" ، ومع ذلك نادرا ما تمتد هذه الحكمة نفسها إلى أمان الملفات. يجب أن يكون واضحا الآن ، مع استمرار محركات مكافحة الفيروسات والبرامج الضارة في النضال مع معدلات اكتشافها ، يجب على المؤسسات أيضا "عدم الوثوق بأي ملف".
إذا افترضت المؤسسة أن جميع الملفات ضارة، فيمكنها فحص بياناتها ثم تعقيمها باستخدام تقنية نزع سلاح المحتوى وإعادة بنائه (CDR).
أولاً، يقوم CDR بتفكيك جميع الملفات إلى مكونات منفصلة، حيث يتم تحديد جميع العناصر. عادةً ما تتم إزالة الماكروات عالية المخاطر، وبالتالي يتم التخلص من أي محتوى ضار محتمل. بعد ذلك، يقوم CDR بإعادة بناء الملف بسرعة وأمان من المكونات التي تم تنظيفها، مع الحفاظ على بياناته الوصفية وخصائص الملف. بالإضافة إلى ذلك، العملاء الماكروات المحددة التي يرغبون في الاحتفاظ بها إلى قائمة الماكروات المسموح بها. يتم تسليم الملفات المعاد بناؤها، مع الحفاظ على سلامة بنية الملفات، إلى المستخدمين النهائيين دون فقدان قابليتها للاستخدام. .
Deep CDR™ Technology sanitizes and reconstructs more than 100 common file types, and verifies more than 4,500 file types. On average, Deep CDR™ Technology is 30 times faster than most dynamic analysis technologies and can block malware designed to evade traditional sandbox environments. Deep CDR™ Technology also integrates with OPSWAT Multiscanning, proactive data loss prevention (DLP), and file-based vulnerability assessment technologies.
لا يهم ما إذا كانت المؤسسات تبحث عن الملفات الضارة عندما يمكن للمهاجمين التهرب من الاكتشاف باستخدام وحدات الماكرو. لا يهم إذا كانت Microsoft تحذر المستخدمين من المخاطر الأمنية لوحدات الماكرو عندما يمكن للمهاجمين تعطيل هذه التحذيرات. لا يهم ما إذا كانت المؤسسات تعطل وحدات الماكرو عندما يتمكن المهاجمون من الاستفادة من الهندسة الاجتماعية الذكية لجعل المستخدمين يعيدون تمكين وحدات الماكرو.
ما يهم حقا هو تبني عقلية "لا تثق في أي ملف" ووجود السياسات والضوابط المعمول بها لتحقيق هذه الفلسفة.
OPSWAT can help. Contact one of our cybersecurity experts today to learn more about how to sanitize data with Deep CDR™ Technology.
