Microsoft Office’te makroların ölümünün ardından (yeni sekmede açılır) yeni raporlara göre, başka bir alternatif yöntemin popülerlik kazandığı görülüyor.
Deep Instinct’ten siber güvenlik araştırmacıları, kalıcılık elde etmelerine ve hedef uç noktalarda kötü amaçlı kod çalıştırmalarına yardımcı olan kötü amaçlı Office eklentileri oluştururken, siber suçlular arasında Office için Microsoft Visual Studio Araçları’nın (VSTO) kullanımında bir artış keşfettiler.
Bilgisayar korsanlarının burada yaptığı şey, .NET tabanlı kötü amaçlı yazılım oluşturmaktır. (yeni sekmede açılır)ve ardından tehdit aktörünün biraz daha yetenekli olmasını gerektiren bir uygulama olan bir Office eklentisine yerleştirmek.
antivirüs atlamak
Yöntem pek yeni değil ama Office makroları baskınken o kadar popüler değildi. Artık Microsoft bu tehdidi etkili bir şekilde ortadan kaldırdığına göre, VSTO tarafından oluşturulan tehditler daha fazla sayıda ortaya çıkıyor. Bu eklentiler, Office belgeleriyle birlikte gönderilebilir veya başka bir yerde barındırılabilir ve saldırganlar tarafından gönderilen bir Office belgesi tarafından tetiklenebilir.
Başka bir deyişle, kurbanın virüs bulaşması için yine de bir Office dosyasını ve eklentiyi indirip çalıştırması gerekir, bu nedenle kimlik avı yine de önemli bir rol oynayacaktır. Bununla birlikte, virüsten koruma programları ve diğer kötü amaçlı yazılım koruma hizmetleri etrafında başarılı bir şekilde çalışabildiği için saldırı vektörü hala oldukça tehlikelidir. Aslında Deep Instinct, Meterpreter yükünü uç noktaya teslim eden çalışan bir Kavram Kanıtı (PoC) oluşturmayı başardı. PoC’nin video gösterimi şu adreste bulunabilir: bu bağlantı (yeni sekmede açılır). Araştırmacılar, yalnızca süreci kaydetmek için Microsoft Windows Defender’ı devre dışı bırakmak zorunda kaldıklarını söylediler.
Penetrasyon testi için kullanılan bir güvenlik ürünü olan Meterpreter, antivirüs ürünlerinin kolayca tespit edilebildiğini ancak PoC’nin tüm unsurlarının tespit edilemediğini söylediler.
Sonuç olarak, araştırmacılar VSTO tarafından oluşturulan saldırıların sayısının artmaya devam etmesini bekliyor. Ayrıca ulus-devletlerin ve diğer “yüksek vasıflı” aktörlerin de uygulamayı benimsemesini bekliyorlar.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)