XLM 4.0 makrosu olarak da bilinen Excel 4.0 makrosu, Microsoft Excel'in 1992 yılında kullanıma sunulan iyi huylu bir kayıt ve oynatma özelliğidir. Bu programlama kodu parçası, Excel'de tekrar eden görevleri otomatikleştirmek için bir çözümdür, ancak ne yazık ki aynı zamanda kötü amaçlı yazılım dağıtımı için gizli bir arka kapıdır.
Selefi Visual Basic for Application (VBA) makrosu gibi, Excel 4.0 makrosu da gizli kötü amaçlı yazılımları depolamak için giderek daha fazla istismar edilmektedir. Tehdit aktörleri, şüpheli makroları gizlemek için XML kodunu gizleyebildiklerinden, yeni saldırı teknikleri oluşturmak için bu 30 yıllık özelliği kolayca silah olarak kullanabilirler.
Bunu bu kadar yaygın bir saldırı vektörü haline getiren şey, Excel 4.0 makrolarının Excel'in temel kapasitesinin temel bir formül bileşeni olmasıdır. Çeşitli iş süreçlerinde düzenli olarak kullanılırlar ve devre dışı bırakılmaları ya da kullanımdan kaldırılmaları pek olası değildir. Bu nedenle, kötü amaçlı yazılım yazarları genellikle makro kodu aracılığıyla kötü amaçlı bir yükü bir Excel belgesine gizlice sokar ve ilk makro 4.0 olayında yaptıkları gibi bunu bir e-posta eki olarak gönderir.
İlk Excel 4.0 Makro Saldırısı
Şubat 2020 ortasındaki ilk makro 4.0 saldırı dalgasından bu yana[1], çok sayıda siber suçlu bu tekniği benimsemiştir. Bir Excel dosyası ekinin bir parçası olarak gönderilen bir formülde gizlenmiş kötü amaçlı bir komut içeren virüslü bir sayfayı içerir.
Saldırganlar, hedefi dosyayı açmaya ikna etmek için sosyal mühendislik taktiklerini kullanır. Açıldıktan sonra, kurbandan kötü amaçlı makroyu etkinleştiren "Düzenlemeyi Etkinleştir" düğmesine tıklaması istenir.
İlk saldırının ardından tehdit aktörleri, Mayıs'tan Temmuz 2020'ye kadar ani artışlarla daha fazla saldırı oluşturmak için bu kaçınma tekniğinden yararlanmaya devam etti[2].
"Çok Gizli" Makrolar
Makrolar, gizleme stratejileri kullanılarak bir Excel dosyasına gizlice eklenebilir ve gizlenebilir.
Örneğin, bir sayfa "Çok Gizli" olarak ayarlanmıştır; bu, bu sayfaya Excel kullanıcı arayüzü aracılığıyla kolayca erişilemeyeceği ve harici bir araç yardımı olmadan ortaya çıkarılamayacağı anlamına gelir. Excel sayfasında gizlenen makrolar web sorgusu yoluyla tetiklenebilir veya bir formül yürütüldüğünde kötü amaçlı yazılım indirebilirler. Tehdit aktörleri, dosya yüklemeleri veya e-posta ekleri yoluyla kötü amaçlı yükler göndermek ve yeni saldırı vektörleri oluşturmak için sistem güvenlik açıklarından yararlanmak için bu boşluktan yararlanır.
Bu taktik, korku temelli sosyal mühendislik oyunlarıyla birlikte saldırganlar tarafından uzaktan erişim elde etmek ve ele geçirilen cihazlarda komut çalıştırmak için kullanıldı. Mayıs 2020'de bu teknik o kadar kötüye kullanıldı ki Microsoft halkı bir COVID-19 kimlik avı kampanyası konusunda uyarmak zorunda kaldı[3]. Saldırganlar, John Hopkins Center'ı taklit ederek "WHO COVID-19 DURUM RAPORU" konulu e-postalar gönderdi.
Ekteki Excel dosyaları, uzaktan erişim sağlamaya olanak tanıyan bir yönetim aracı olan NetSupport Manager RAT'ı indiren ve çalıştıran gizli bir kötü amaçlı makro içermektedir.
Kötü Amaçlı Dosya Yüklemelerine Karşı Koruma
VBA'ya geçiş
Bu istismarların farkında olan Microsoft, kullanıcıları Visual Basic for Applications'a (VBA) geçmeye teşvik etmektedir[4]. VBA ile eşleştirilen Antimalware Scan Interface (AMSI), VBA'daki makroların davranışlarının derinlemesine incelenmesini sağlayarak sistemin çalışma zamanında şüpheli makroları ve diğer kötü amaçlı etkinlikleri taramasına olanak tanır.
AMSI'yi Microsoft Office ile entegre edin
Microsoft ayrıca, XLM tabanlı kötü amaçlı yazılımların tespit edilmesine ve engellenmesine yardımcı olmak için Excel 4.0 makrolarının çalışma zamanı taramasını içerecek şekilde AMSI'nin Office 365 ile entegrasyonunu sağlar.
Makro Yüklerini ve Tüm Kötü Amaçlı Yazılımları Kaldır Deep CDR
Tehdit önleme teknolojimiz tüm dosyaların kötü amaçlı olduğunu varsayar, ardından her dosyayı sterilize eder ve yeniden oluşturur, böylece kullanıcılara ulaştığında güvenli içerikle tam kullanılabilirlik sağlar. Nasıl olduğu hakkında daha fazla bilgi edinin Deep CDRExcel dosyalarındaki kaçamak teknikleri ve VBA stomping maldoc tekniklerini önler.
Ayrıca, OPSWAT kullanıcıların kötü amaçlı yazılımlara karşı ekstra koruma katmanları sağlamak için birden fazla tescilli teknolojiyi entegre etmelerine olanak tanır. Bu örneklerden biri olan Multiscanning, kullanıcıların %100'e yaklaşan tespit oranlarına ulaşmak için 30'dan fazla kötü amaçlı yazılımdan koruma motoruyla (AI/ML, imzalar, sezgisel yöntemler vb. kullanarak) aynı anda tarama yapmasına olanak tanır. Bunu, ortalama olarak virüslerin yalnızca %40-%80'ini tespit edebilen tek bir AV motoruyla karşılaştırın.
Hakkında daha fazla bilgi edinin Deep CDR, Multiscanningve diğer teknolojileri kullanabilir veya Sıfırıncı Gün saldırılarına ve gelişmiş kötü amaçlı yazılımlardan kaynaklanan diğer tehditlere karşı koruma sağlayacak en iyi güvenlik çözümünü keşfetmek için bir OPSWAT uzmanıyla görüşebilirsiniz.
Referanslar
1 James Haughom, Stefano Ortolani. "Excel 4.0 Makro Silahlanmasının Evrimi." Lastline. 2 Haziran 2020, https://www.lastline.com/labsb....
2 Baibhav Singh. "Excel 4.0 Makro Silahlanmasının Evrimi - Bölüm 2." VMware. Ekim 14, 2020. https://blogs.vmware.com/netwo....
3 Phil Muncaster. "Microsoft "Devasa" #COVID19 RAT'ına Karşı Uyardı." Infosecurity Magazine. Mayıs 21, 2020, https://www.infosecurity-magaz....
4 "XLM + AMSI: Excel 4.0 makro kötü amaçlı yazılımlarına karşı yeni çalışma zamanı savunması". Microsoft. 3 Mart 2021. XLM + AMSI: Excel 4.0 makro kötü amaçlı yazılımlarına karşı yeni çalışma zamanı savunması | Microsoft Security Blog.
