Tehdit aktörleri, Microsoft’un bu yılın başlarında İnternet’ten indirilen belgelerde Office makrolarını devre dışı bırakma kararının ardından en sevdikleri kötü amaçlı yazılım dağıtım taktiklerinden birinin kullanımını keskin bir şekilde azalttı. Ancak, siber saldırganların sorunu aşmasına yardımcı olmak için kapsayıcı dosyaları arttı.
Bu pivot açık: Microsoft’un 21 Ekim’de makroları varsayılan olarak devre dışı bırakacağını açıklamasından bu yana, Proofpoint’e göre tehdit aktörlerinin VBA ve XL4 makrolarının kullanımında %66’lık bir düşüş oldu.
Netskope gibi diğer güvenlik sağlayıcıları da Microsoft’un hamlesini takiben Office tabanlı saldırılarda önemli bir düşüş gözlemledi. Temmuz 2022’de, güvenlik sağlayıcısının bulut güvenlik platformunun algıladığı Office kötü amaçlı yazılım yüzdesi, bir yıl önceki %35’e kıyasla tüm kötü amaçlı yazılım etkinliklerinin %10’undan azdı.
Proofpoint’teki kapsayıcı dosyalarına geçişi izleyen araştırmacılar, bu hafta saldırganların e-posta mesajlarına eklenen makro etkin belgelerde kötü amaçlı yazılımları gizlemeye alternatif olarak çeşitli yeni dosya türleri kullanmaya başladığını söyledi. Güvenlik sağlayıcısına göre bu, özellikle son kampanyalarında LNK, RAR, IMG ve ISO dosyaları gibi dosyaları kullanmaya geçişi içeriyor.
Keeper Security’de güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, şirketindeki araştırmacıların, örneğin, ISO dosyalarını kullanan saldırılarda bir artış fark ettiğini söylüyor. Bu saldırıların genellikle satış veya müşteri hizmetleri temsilcileri gibi teknik olmayan personeli hedef aldığını söylüyor. Saldırganlar genellikle, bir toplantı planlama kisvesi altında kurbanı ISO dosyasını indirmeye ve açmaya ikna etmeye çalışırlar.
Aynı Taktikler, Gelişen Teslimat Mekanizmaları
Proofpoint’te tehdit araştırma ve algılama başkan yardımcısı Sherrod DeGrippo, “Genel olarak konuşursak, bu diğer dosya türleri, daha önce makro yüklü bir belgeyi gözlemlediğimiz şekilde doğrudan bir e-postaya eklenir” diyor.
Ancak, saldırı zincirlerinin daha karmaşık olduğu durumlar da var, diyor. Örneğin, bazı son QakBot (diğer adıyla Qbot) bankacılık Truva Atı kampanyalarında, tehdit aktörleri, doğrudan bir mesaja eklenmiş bir HTML dosyasına ISO içeren bir zip dosyası yerleştirdi.
Ancak DeGrippo, “maksatlanan kurbanları açıp tıklatmaya gelince, yöntemler aynı: çok çeşitli sosyal mühendislik taktikleri” diyor.
Ayrıca, Microsoft’un makro duyurusundan önce, çeşitli aktörlerin kötü amaçlı yazılımları dağıtmak için zaten arşivleri ve görüntü dosyalarını kullandığını, bu nedenle bu hiçbir şekilde yeni bir teknik olmadığını belirtiyor. “[The increased use of container files should be seen as] daha çok, savunma duruşunda zaten hesaba katılması gereken mevcut tekniklere bir yeniden hizalama veya pivot” diyor.
Web Korumalarının Geçmiş İşaretini Alma
Saldırganlar geçiş yaptı DeGrippo, kapsayıcı dosyaların onlara Windows’un İnternet’ten indirilen dosyaları etiketlemek için kullandığı Web’in İşareti (MOTW) özelliği aracılığıyla kötü amaçlı yazılımları gizlice sokmanın bir yolunu sağladığını söylüyor.
Bu tür dosyaların yapabilecekleri sınırlıdır ve – Microsoft Office 10’dan başlayarak – varsayılan olarak Korumalı Görünüm’de açılır.
Öznitelikle etiketlenmiş yürütülebilir dosyalar, bilinen güvenilir dosyalar listesine göre kontrol edilir ve kontrol, dosyanın bilinmeyen veya güvenilmeyen olduğunu gösterirse otomatik olarak yürütülmesi engellenir. Bunun yerine, kullanıcılar dosyanın potansiyel olarak tehlikeli olduğuna dair bir uyarı alır.
DeGrippo, Dark Reading’e “MOTW, alternatif bir veri akışında depolanan meta verilerdir ve genel olarak konuşursak, bu veriler yalnızca en dıştaki kapsayıcı için var: doğrudan indirilen dosya” diyor.
Anahtar, bir kap dosyası içindeki belgenin (örneğin, makro etkinleştirilmiş bir elektronik tablo) aynı şekilde etiketlenmeyecek olmasıdır.
“İç dosyalar veya arşivlenmiş dosyalar indirilmedi ve çoğu durumda bunlarla ilişkili herhangi bir MOTW meta verisi olmayacak” diyor. Bu durumlarda, bir kullanıcının kötü amaçlı kodun çalışması için yine de makroları etkinleştirmesi gerekir, ancak dosyanın Web’den geldiği tanımlanmaz ve bu nedenle güvenilmez olarak kabul edilmez.
MITRE’nin ATT$CK veritabanı, tehdit aktörlerinin hedef sistemlerde kötü niyetli yükler sağlamak için MOTW’yi atlayabileceği tek yol olarak kapsayıcı dosyalarını da tanımlar.
“MOTW, Yeni Teknoloji Dosya Sistemi (NTFS) özelliğidir ve birçok kapsayıcı dosyası, NTFS-alternatif veri akışlarını desteklemez,” MITRE kaydetti. “Bir kap dosyası ayıklandıktan ve/veya bağlandıktan sonra, içinde bulunan dosyalar diskteki yerel dosyalar olarak değerlendirilebilir ve koruma olmadan çalıştırılabilir.”
Rusya’nın APT29 çetesi (aka Cozy Bear) ve TA505 grubu (Locky fidye yazılımı varyantının ve Dridex bankacılık Truva Atı’nın arkasındaki tehdit aktörü), MITRE’ye göre MOTW korumalarını bozmak ve kötü niyetli yükleri dağıtmak için konteyner dosyalarını kullanan siber saldırganlara örnektir. .
Engellemek Daha Kolay
Güvenlik araştırmacıları, Microsoft’un internetteki dosyalarda makroları devre dışı bırakma kararını memnuniyetle karşıladı. Saldırganlar, kötü amaçlı yazılımları dağıtmak için uzun süredir makroları kullanıyor ve kullanıcıların genellikle makroları varsayılan olarak etkin durumda bırakmalarına güvenerek, bu nedenle onlara kurban sistemlerinde kötü amaçlı yükleri yürütmek için nispeten basit bir yol sunuyor. Microsoft, güvenlik endişelerini öne sürerek, gerekmediğinde kullanıcıları Office makrolarını devre dışı bırakmaya çağırdı. Ancak şirket, bu yılın başlarına kadar varsayılan bir ayar yapmadı.
DeGrippo, Microsoft’un makroları varsayılan davranış olarak devre dışı bırakma kararının, tehdit aktörleri kötü amaçlı yazılım dağıtmak için başka yollar arasa bile savunucuları olumlu yönde etkilediğini söylüyor.
“Kuruluşlar genellikle Word ve Excel belgeleri gibi dosya türlerini kara listeye almakta zorlanıyor” diyor. “Ancak ISO’lar gibi bir şey, bir şirketin günlük operasyonları için genellikle daha az önemlidir” ve bu nedenle daha kolay bir engelleme listesine eklenebilir.
Keeper Security’nin Tiquet’i de aynı fikirde. Mevcut uç nokta güvenlik sistemleri bu saldırıların çoğunu engelleyebilir, ancak “kullanıcılar bu tür saldırılar hakkında bilgi sahibi olmalı ve eğitimli olmalıdır” diyor.