מאקרו באקסל 4.0: תכונה ישנה, טכניקת התקפה חדשה

26 ביולי, 2021 עַל יְדֵי וין לאם, מנהל תוכנית טכנית בכיר

שתף את הפוסט הזה

מאקרו של Excel 4.0, הידוע גם כמאקרו XLM 4.0, הוא תכונת הקלטה והשמעה שפירה של Microsoft Excel שהוצגה בשנת 1992. קטע קוד תכנות זה הוא פתרון לאוטומציה של משימות חוזרות ונשנות באקסל, אך למרבה הצער, גם דלת אחורית סמויה להפצת תוכנות זדוניות.

כמו קודמו, המאקרו Visual Basic for Application (VBA), המאקרו של Excel 4.0 מנוצל יותר ויותר לאחסון תוכנות זדוניות נסתרות. גורמי איום יכולים בקלות להפוך תכונה בת 30 שנה זו לנשק כדי ליצור טכניקות תקיפה חדשות, שכן הם יכולים לטשטש קוד XML כדי להסתיר את המאקרו החשוד.

מה שהופך את וקטור ההתקפה הזה לווקטור כה נרחב הוא שמקרואים של Excel 4.0 הם מרכיב חיוני בנוסחה של יכולות הליבה של Excel. הם נמצאים בשימוש קבוע בתהליכים עסקיים שונים וסביר להניח שלא יושבתו או יוצאו משימוש. מסיבה זו, מחברי תוכנות זדוניות לעתים קרובות מתגנבים מטען זדוני דרך קוד המאקרו לתוך מסמך Excel ומספקים אותו כקובץ מצורף לדוא"ל, כפי שעשו באירוע הראשון של מאקרו 4.0.

מתקפת המאקרו הראשונה של Excel 4.0

מאז הגל הראשון של מתקפות מאקרו 4.0 באמצע פברואר 2020 ^[1] , מספר רב של פושעי סייבר אימצו טכניקה זו. היא כוללת גיליון נגוע עם פקודה זדונית המוסתרת בנוסחה, שנשלחה כחלק מקובץ מצורף של קובץ אקסל.

התוקפים משתמשים בטקטיקות של הנדסה חברתית כדי לפתות את היעד לפתוח את הקובץ. לאחר הפתיחה, הקורבן מתבקש ללחוץ על כפתור "הפעל עריכה", מה שמפעיל את המאקרו הזדוני.

גרף עמודות שכותרתו: מתקפות סייבר באמצעות פקודות מאקרו של Excel 4.0. ציר ה-X מכיל תאריכים. ציר ה-Y מכיל את מספר המתקפות. ההתקפות מגיעות לשיא בפברואר, מרץ ואפריל.

לאחר המתקפה הראשונה, גורמי האיום המשיכו למנף את טכניקת ההתחמקות הזו כדי ליצור מתקפות נוספות, עם עליות חדות ממאי עד יולי 2020 ^[2] .

פקודות מאקרו "מוסתרות מאוד"

ניתן להכניס ולהסתיר פקודות מאקרו באופן חשאי בקובץ אקסל באמצעות אסטרטגיות ערפול.

לדוגמה, גיליון מוגדר כ"מוסתר מאוד", מה שאומר שגיליון זה אינו נגיש בקלות דרך ממשק המשתמש של Excel ואי אפשר לחשוף אותו ללא עזרה של כלי חיצוני. פקודות מאקרו המוסתרות בגיליון Excel יכולות להיות מופעלות באמצעות שאילתת אינטרנט, או שהן יכולות להוריד תוכנות זדוניות בעת ביצוע נוסחה. גורמי איום מנצלים פרצה זו כדי להעביר מטענים זדוניים באמצעות העלאות קבצים או קבצים מצורפים לדוא"ל ולנצל פגיעויות במערכת כדי ליצור וקטורי תקיפה חדשים.

תוכנה זדונית מוסתרת בגיליון אקסל — תוכנה זדונית בגיליון אקסל מוסתר

טקטיקה זו, בשילוב עם תחבולות הנדסה חברתית מבוססות פחד, נוצלו על ידי תוקפים כדי לקבל גישה מרחוק ולהפעיל פקודות על מכשירים שנפרצו. במאי 2020, הטכניקה נוצלה לרעה עד כדי כך שמיקרוסופט נאלצה להזהיר את הציבור מפני קמפיין פישינג של COVID-19 ^[3] . התוקפים שלחו מיילים בנושא "דו"ח מצב COVID-19 של WHO", תוך התחזות למרכז ג'ון הופקינס.

קבצי האקסל המצורפים מכילים מאקרו זדוני נסתר שמוריד ומפעיל את NetSupport Manager RAT - כלי ניהול המאפשר גישה מרחוק.

הגנה מפני העלאות קבצים זדוניות

מעבר ל-VBA

מיקרוסופט, מודעת לניצול לרעה של תוכנות אלו, עודדה משתמשים לעבור ל-Visual Basic for Applications (VBA) ^[4] . ממשק הסריקה נגד תוכנות זדוניות (AMSI) בשילוב עם VBA יכול לספק בדיקה מעמיקה של התנהגויות המאקרו ב-VBA, מה שמאפשר למערכת לסרוק אחר פקודות מאקרו חשודות ופעילויות זדוניות אחרות בזמן ריצה.

שילוב AMSI עם Microsoft Office

מיקרוסופט גם מאפשרת שילוב של AMSI עם Office 365 כדי לכלול סריקת מאקרו בזמן ריצה של Excel 4.0 כדי לסייע בזיהוי וחסימה של תוכנות זדוניות מבוססות XLM.

הסר את טעינת המקרו ואת כל התוכנות הזדוניות באמצעות Deep CDR

טכנולוגיית מניעת האיומים שלנו מניחה שכל הקבצים זדוניים, לאחר מכן מנקה ובונה מחדש כל קובץ, ומבטיחה שימושיות מלאה עם תוכן בטוח עד שהוא מגיע למשתמשים. למד עוד על האופן שבו Deep CDR מונע טכניקות התחמקות בקבצי Excel וטכניקות VBA stomping maldoc .

בְּנוֹסַף, OPSWAT מאפשר למשתמשים לשלב מספר טכנולוגיות קנייניות כדי לספק שכבות נוספות של הגנה מפני תוכנות זדוניות. דוגמה אחת לכך היא Multiscanning , המאפשר למשתמשים לסרוק בו זמנית עם יותר מ-30 מנועי אנטי-וירוס (תוך שימוש בבינה מלאכותית/למידה מרחוק, חתימות, היוריסטיקות וכו') כדי להשיג שיעורי זיהוי המתקרבים ל-100%. השווה זאת למנוע אנטי-וירוס יחיד, שיכול בממוצע לזהות רק 40%-80% מהווירוסים.

למדו עוד על Deep CDR , Multiscanning וטכנולוגיות אחרות; או שוחחו עם מומחה OPSWAT כדי לגלות את פתרון האבטחה הטוב ביותר להגנה מפני התקפות Zero-day ואיומים אחרים מתוכנות זדוניות מתקדמות.

הפניות

¹ ג'יימס האוגום, סטפנו אורטולאני. "אבולוציה של ניצול מאקרו של Excel 4.0." Lastline. 2 ביוני 2020, https://www.lastline.com/labsb... .
² בייבאב סינג. "אבולוציה של אקסל 4.0 כחמוש מאקרו - חלק 2." VMware. 14 באוקטובר 2020. https://blogs.vmware.com/netwo... .
³ פיל מנקסטר. "מיקרוסופט מזהירה מפני נגיף RAT "מסיבי" #COVID19." מגזין Infosecurity. 21 במאי 2020, https://www.infosecurity-magaz... .
⁴ "XLM + AMSI: הגנה חדשה בזמן ריצה מפני תוכנות זדוניות מאקרו של Excel 4.0". מיקרוסופט. 3 במרץ, 2021. XLM + AMSI: הגנה חדשה בזמן ריצה מפני תוכנות זדוניות מאקרו של Excel 4.0 | בלוג האבטחה של מיקרוסופט.

פוסטים אחרונים

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.

הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.