אבטחת מידע וסייבר Macro-Based Malware

כולנו משתמשים ביומיום עם קבצים המכילים מאקרו באמצעות Office ולרוב מפעילים אותם ללא חשיבה על מה שעלול להיות ברגע שלחצנו על Enable Content.
אחת הדרכים הפופולריות של התוקפים כיום הם תקיפות באמצעות קובצי Office המכילים מאקרו שלכאורה נראים בטוחים ולא גורמים לבעיות אך מתחת לפני השטח עלולים להיות הרסניים עם Ransomware כדוגמת Locky.

מהו Macro בכלל

מאקרו הוא תת-רכיב/תת-תוכנה המבוסס על גרסה מצומצמת של Visual Basic ונמצא בעיקר במסמכי Office. מסמך שמורכב מהגדרות מאקרו מאפשר לבצע הרצת פקודות שונות בתוך קובץ Office.
פקדת Macro אשר נחשפת למשתמש כאפשרות רגילה (לחצן בתוך Office) או רצה ברקע למעשה מריצה מאחורי הקלעים מספר פקודות Macro אשר מבצעות תהליך אוטומטי בתוך הקובץ.
ישנם פקודת מאקרו רבות שניתן לעבוד עמם, כגון: פקדי טופס, פקדי ActiveX, טופסי נתונים ועוד. פקדים אלה יכולים להריץ פקודה אחת ויותר בצורה ידנית או בצורה אוטומטית.
הפוטנציאל של עבודה עם מאקרו הוא עצום ומאפשר לבצע תהליכים אוטומטיים אך מנגד עלול להיות גם חור אבטחה עצום כאשר הידע העיקרי הוא משתמשי קצה.

למשל: הקבצים הבטוחים שאנו מריצים כמחשבונים של Exchange, Skype for Business, SharePoint ורבים נוספים כוללים בתוכם פקודות אוטומטיות בכדי לאפשר לנו לחשב את מה שנדרש. כאשר פותחים את הקובץ מקבלים אזהרה לגבי קובץ שהגיע מתוך הרשת החיצונית ובאזהרה השניה אזהרה לגבי מאקרו.

image

image

Macro-Based Malware

וירוס מאקרו עושה שימוש ביכולות מאקרו על גבי מסמכי Office וכאשר המסמך נגוע הוירוס נכנס לפעולה ע”י הפעלת המסמך או הפעלת מאקרו ברמת האופיס והחל מאותו רגע עלול להוריד Malware נוסף, להדביק קבצים נוספים וכו’.
וירוס באמצעות מאקרו אינו חדש וכבר בגרסת Office 2000 נחשפנו לוירוס מאקרו W97M.Downloader (וירוס מאקרו שהוריד Malware נוסף בעת הפעלה). כיום ישנם מאקרו וירוס נוספים, כגון:

כיום וירוס מאקרו הוא אחת השיטות הנפוצות של תוקפים ברשת ותוקפים מנצלים את העובדה שרובנו הגדול עדיין לא מקשיח מאקרו ועדיין רוב המשתמשים מאפשר ומפעיל מאקרו כאשר אנו מתבקשים להפעיל ללא אבחנה האם הקובץ בטוח או להיפך, בדוגמא שלפנינו משתמשים לוחצים על אותה הודעה שממליצה למשתמש להפעיל Macro בכדי לראות את התוכן וע”י כך מאפשרים את התקיפה עצמה.

image

איך זה מתקשר למתקפת Ransomware?

וירוס Locky שנמנה על אותם וירוסים שמריצים malicious מסוג Ransomware יודע לנצל בצורה מצוינת מאקרו וע”י כך להצפין את כל הקבצים בתחנת קצה. התהליך של Locky עובד באופן הבא:

  • משתמש מקבל הודעת דואר עם קובץ Office
  • הקובץ נפתח ע”י המשתמש ומוצג עם כתב לא ברור
  • בתוך המסמך ישנו הודעה שממליצה על הפעלת מאקרו
  • באותו רגע מופעל קוד אוטומטי ששומר את המסמך אל התחנה באופן מוסתר
  • הקובץ שנשמר בתחנה מכיל Malware ומבצע ערבול של כל הקבצים בדיסק
  • בסיום הקבצים מוצפנים ולמשתמש אין גישה אליהם.

חלק מאד מעניין בתהליך מתקפת מאקרו הוא שבאותו רגע שנשמר קובץ בתחנת קצה הוא למעשה מפעיל macro downloaders המשמש בתור gateway לmalware אחרים.
בדוגמא הנ”ל ניתן לראות את התהליך שמתבצע עם וירוס מאקרו.

Macro downloader infection chain

מאקרו downloaderas ידועים:

דרכי הגנה

אז איך מתגוננים עם מאקרו ומורידים את הסיכון?

במידה וניתן לבצע ביטול של מאקרו בארגון מבטלים לכלל המשתמשים בצורה רוחבית ועל כלל הרשתות והקבצים, במידה והארגון אינו מאפשר ביטול רוחבי בגלל שימוש של אפליקציות כלשהן עדיין ניתן להקשיח אך זה לא יהיה באותה מידע כמו ביטול רוחבי.

הפעולות שניתן לבצע בכדי להוריד את רמת הסיכון הם:

  • עדכונים – ביצוע עדכונים לאנטי-וירוס המקומי אחת לשבוע
  • ATP וסינון קבצים – יישום Advanced Threat Protection עם מנגנון Safe Attachment
  • ETR וחוקים – יישום חוקי ETR נוספים על גבי Exchange Online Protection
  • הגבלת חשבונות בעלי הרשאות המריצים קובצי מאקרו
  • מידע והתראות – שימוש ביכולות Microsoft Active Protection Service
  • ביטול מאקרו בצורה רוחבית (ואם ניתן להחמיר ככל האפשר וללא התראה)

image

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s