Microsoft, Office makrolarını varsayılan olarak engellemeye karar verdiğinden beri, tehdit aktörleri, benzeri görülmemiş bir oranda kötü amaçlı yazılım dağıtmak için yeni yöntemler benimseyerek gelişmek zorunda kaldı.
Uzun zamandır, tehdit aktörlerinin kullandığı kötü amaçlı Microsoft Office makroları hedef bilgisayarlarının içine bir kanca sokmak için. Bu nedenle 2022’de, Microsoft nihayet – düzensiz de olsa – varsayılan olarak makroları engellemeye başladı İnternetten indirilen dosyalarda.
Artık bilgisayar korsanları, en sevdikleri oyuncağı olmadan kötü amaçlı yazılımlarını istedikleri yere götürmek için yeni yollar bulmak zorunda kalıyor.
“Birçok yönden, neyin yapışacağını görmek için duvara spagetti fırlatıyorlar,” diyor yazar Selena Larson. trend hakkında yeni bir rapor. “Yeni saldırı zincirleri oluşturmak için harcadıkları enerji gerçekten benzersiz” ve siber savunucuların ayak uydurması gerekecek.
Saldırganlar Nasıl Uyum Sağladı?
Nadiren bu kadar basit bir politika değişikliği siber suç ortamında bu kadar büyük bir fark yaratmıştır. Microsoft’un duyuru yılı olan 2021’de Proofpoint araştırmacıları, makroları kullanan binden fazla kötü amaçlı kampanyayı takip etti.
Politika değişikliğinin yürürlüğe girdiği yıl olan 2022’de makro destekli saldırılar %66 oranında düştü. 2023’te şimdiye kadar, siber saldırılarda makrolar neredeyse tamamen ortadan kalktı.
Bilgisayar korsanlarının onların yerine başka bir çözüme ihtiyacı vardır. Konteyner dosyaları popüler bir alternatif olarak ortaya çıktı geçen yıl, saldırganların İnternetten indirilen dosyalar için Microsoft’un “mark-of-the-Web” etiketini atlamasına izin verdi. Bir kez Microsoft bu geçici çözümü ele aldıancak, bu tür dosyalar makronun yolunu tuttu.
O zamandan beri bilgisayar korsanları yeni altın kazlarını arıyorlar.
Örneğin, 2022’nin 2. yarısında Proofpoint araştırmacıları, HTML kaçakçılığı — kodlanmış bir komut dosyasını bir HTML ekinden geçirmek. 2023’te, iyi eski PDF’ler saldırganlar için popüler bir dosya biçimi olduğunu kanıtladı. Ve geçen Aralık ayında, bazı kötü amaçlı kampanyalar, kötü amaçlı yazılımlarını dağıtmak için Microsoft’un not alma uygulaması OneNote’u kullanmaya başladı. Ocak ayına kadar düzinelerce tehdit aktörü bu trendi yakaladı ve son aylarda 120’den fazla kampanya OneNote’tan yararlandı.
Yine de hiçbir şey sıkışmadı. Larson, “Makro özellikli ataşmanla aynı türde dayanıklılığa sahip hiçbir şey görmedik” diyor.
Bunun Güvenlik Ekipleri İçin Anlamı Nedir?
Larson, “Saldırganlar artık daha yaratıcı olmak zorunda, bu da onlara hata yapmaları veya hata yapmaları için daha fazla fırsat sunuyor” diyor.
Yine de siber suçluları rahatlık alanlarından çıkarmaya zorlamanın bir bedeli var. “Yaptıkları değişikliklerin hızı, oranı ve kapsamı – denedikleri tüm farklı saldırı zincirleri – göze çarpıyor” diyor.
Ve böylece, siber savunucular ayak uydurmak için eşit derecede hızlı hareket etmek zorunda kalacaklar. “Tehdit aktörü davranışına karşı proaktif olmak ve yeni tespitler ve kurallar bulmak zorundayız, çünkü tehdit aktörleri mevcut tespitleri atlatmak için farklı yollar deniyor” diyor.
Kuruluşların da en son trendleri takip etmesi gerekecek. Güvenlik eğitimleri alın: “İnsanların çoğu zaman makro özellikli belgeler konusunda eğitildiğini biliyorum. Artık kullanıcılarınızı yeni PDF yöntemleri hakkında bilgilendirmeli ve güvenlik eğitimine dahil etmek için potansiyel tehditlerin gerçek dünyadan örneklerini kullanmalısınız. ,” diyor.
Larson, “Ancak genel, bütünsel bir güvenlik bakış açısıyla, kullanıcıların farkında olmasını sağladığınız sürece, büyük ölçüde değişmesi gereken hiçbir şey olduğunu düşünmüyorum” diyor. “Hey, bu tür şeylere dikkat et!”
