Güvenlik araştırmacıları, Microsoft'un neden "beklenmedik makroların önemli bir güvenlik riski oluşturabileceğini" kabul ettiğini bir kez daha gösterdi. Yakın zamanda yayınlanan bir blog yazısında güvenlik araştırmacıları, saldırganların kötü amaçlı bir bankacılık Truva Atı olan ZLoader'ı ilk dosyada herhangi bir kötü amaçlı kod olmadan indirmek ve çalıştırmak için makroları nasıl kullandıklarını açıklıyor.
Saldırının anatomisi, bir Microsoft Excel belgesini indirmek için makrolardan yararlanan zararsız bir Microsoft Word belgesiyle başlar. Bu daha sonra XLS dosyasında yeni bir makro oluşturur ve Excel Makro Uyarısını Devre Dışı Bırakmak için bir kayıt defteri ilkesini günceller. Sonuç olarak, Excel dosyası herhangi bir uyarı olmadan ZLoader'ı indirmek için kötü amaçlı makrosunu çalıştırabilir.
Diğer pek çok saldırıda olduğu gibi, ilk Microsoft Word belgesi bir kimlik avı e-postası olarak gönderilmektedir. Ancak bu özel saldırı zinciri yeni çünkü ilk makronun herhangi bir anti-virüs ya da anti-malware motoru tarafından tespit edilmesi pek olası değil. Elbette, birçok kuruluş varsayılan politika olarak makroları devre dışı bırakır, ancak bu ilk Microsoft Word belgesi, kullanıcıları "Düzenlemeyi Etkinleştir" ve "İçeriği Etkinleştir "e çağıracak şekilde biçimlendirilmiştir.
Sosyal mühendislik ve teknik istismarın bu kombinasyonu, bu tür bir saldırıyı bu kadar etkili kılan şeydir.
İyi bir günde bile, anti-virüs ve anti-malware motorları yeni tehditlerin hacmine ayak uydurmakta zorlanır ve sıfırıncı gün tehditlerine karşı son derece savunmasızdır. OPSWAT araştırması, yüzde 99'dan daha yüksek tespit oranlarına ulaşmak için 30'dan fazla anti-virüs ve anti-malware motoru gerektiğini ortaya koymaktadır, bu nedenle çoklu tarama çözümleri gizli kötü amaçlı yazılımlar için bekleme sürelerini önemli ölçüde azaltabilir. Kötü amaçlı yazılımlar giderek daha sofistike hale geldikçe geleneksel kum havuzları bile atlatılabilir. Bu ZLoader makrosu gibi yeni tehditler tespit edilmekten kaçınmada oldukça etkilidir.
Hiçbir Dosyaya Güvenmeyin
Sıfır güven güvenlik modeli, "kimseye güvenme" bilgeliğiyle kullanıcıları ve cihazları güvence altına almak için giderek daha popüler bir yöntem haline geldi, ancak aynı bilgelik nadiren dosya güvenliğine genişletildi. Anti-virüs ve anti-malware motorları tespit oranlarıyla mücadele etmeye devam ettikçe, kuruluşların da "hiçbir dosyaya güvenmemesi" gerektiği artık anlaşılmış olmalıdır.
Bir kuruluş tüm dosyaların kötü amaçlı olduğunu varsayarsa, Content Disarm and Reconstruction (CDR) teknolojisi ile verilerini inceleyebilir ve daha sonra sterilize edebilir.
İlk olarak, CDR tüm dosyaları, tüm öğelerin tanımlandığı ayrı bileşenlere ayırır. Tipik olarak yüksek riskli makrolar kaldırılır, böylece potansiyel olarak kötü niyetli içerik ortadan kaldırılır. Daha sonra CDR, meta verilerini ve dosya özelliklerini koruyarak dosyayı sterilize edilmiş bileşenlerden hızlı ve güvenli bir şekilde yeniden yapılandırır. Ayrıca, müşteriler saklamak istedikleri belirli makroları listeleme olanağına da sahiptir. Dosya yapısı bütünlüğü bozulmadan yeniden yapılandırılan dosyalar, kullanılabilirlik kaybı olmadan son kullanıcılara teslim edilir. .
Deep CDR 100'den fazla yaygın dosya türünü sterilize eder ve yeniden yapılandırır ve 4.500'den fazla dosya türünü doğrular. Ortalama olarak, Deep CDR çoğu dinamik analiz teknolojisinden 30 kat daha hızlıdır ve geleneksel sandbox ortamlarından kaçmak için tasarlanmış kötü amaçlı yazılımları engelleyebilir. Deep CDR ayrıca OPSWAT Multiscanning, proaktif veri kaybı önleme (DLP) ve file-based vulnerability assessment teknolojiler.
Saldırganlar makrolarla tespit edilmekten kaçabiliyorken, kurumların kötü amaçlı dosyaları taramasının bir önemi yoktur. Saldırganlar bu uyarıları devre dışı bırakabildiğinde Microsoft'un kullanıcıları makroların güvenlik riski konusunda uyarmasının bir önemi yoktur. Saldırganlar, kullanıcıların makroları yeniden etkinleştirmesini sağlamak için becerikli sosyal mühendislikten yararlanabildiğinde, kuruluşların makroları devre dışı bırakması önemli değildir.
Asıl önemli olan "hiçbir dosyaya güvenme" zihniyetini benimsemek ve bu felsefeyi hayata geçirecek politika ve kontrollere sahip olmaktır.
OPSWAT yardımcı olabilir. Deep CDR ile verilerin nasıl sterilize edileceği hakkında daha fazla bilgi edinmek için bugün siber güvenlik uzmanlarımızdan biriyle iletişime geçin.
