خلاقیت مجرمان | امنیت حرفه ای

ایان پورتئوس، مدیر منطقه‌ای، مهندسی امنیت، بریتانیا و ایرلند، می‌گوید: زنجیره‌های عفونت ایمیل در سال 2022 در حال متنوع شدن هستند. نرم افزار Check Point.

ممکن است تعجب آور باشد که اکثر سارقان با عبور از درب ورودی به خانه های قربانیان دسترسی پیدا می کنند. این به این دلیل است که هر خانه یک خانه دارد و اغلب اوقات قفل آنها باز می ماند. برای سال‌ها، اسناد مایکروسافت آفیس درب ورودی دیجیتال ما بوده‌اند. تقریباً همه ما زمانی از اسناد آفیس استفاده کرده ایم، خواه ورد، پاورپوینت یا اکسل، و روزانه هزاران ایمیل با این نوع اسناد ضمیمه شده رد و بدل می شود. اغلب اوقات، ما حتی منبع آنها را زیر سوال نمی‌بریم، و در واقع آنها را به دری بسیار باز تبدیل می‌کند.

طبق آخرین گزارش اطلاعاتی تهدیدات ما، در بریتانیا 70 درصد فایل‌های مخرب از طریق ایمیل در 30 روز گذشته تحویل داده شده است و با این پیام‌ها شامل پیوندها و همچنین اسناد word MS، چنین حملاتی تشدید خواهند شد.

استفاده مخرب از اسناد مایکروسافت به قدری مکرر اتفاق می افتد که حتی نام خود را دارند – maldocs – و یکی از تکنیک های اصلی که مجرمان سایبری برای ایجاد آنها استفاده می کنند، سوء استفاده از ماکروهای آفیس است. خوشبختانه، مایکروسافت اکنون فرآیند مسدود کردن ماکروها را به طور پیش‌فرض آغاز کرده است، اما مدتی طول کشید تا به آنجا برسد. بنابراین، این چه معنایی برای کسب و کار شما دارد؟ آیا نگرانی در مورد دلبستگی های مشکوک به گذشته مربوط می شود؟ بیایید نگاهی بیندازیم به چگونگی تنوع زنجیره های آلوده به ایمیل در سال 2022.

مشکل طولانی مدت با ماکروها

ماکروهای آفیس برنامه‌هایی با هدف ویژه هستند که سال‌ها توسط مجرمان سایبری برای ارائه بدافزار از طریق پیوست‌های ایمیل استفاده می‌شوند. شرکت‌های امنیتی سال‌ها است که با این روش مبارزه می‌کنند، اما همیشه روشن بود که کلید جلوگیری از سوء استفاده کلان در دست خود مایکروسافت است. در واقع، در فوریه امسال، مایکروسافت اعلام کرد که تنظیمات پیش‌فرض آفیس را برای غیرفعال کردن ماکروها تغییر می‌دهد – فقط در ماه جولای این تصمیم را لغو می‌کند و سپس اعلام می‌کند که روند طبق برنامه‌ریزی‌شده ادامه خواهد یافت.

اگرچه اثبات مفهوم (PoC) و اکسپلویت های فعال با استفاده از ماکروهای VBA در اوایل سال 1995 ظاهر شد، اما آنها فاقد عملکرد سرقت اطلاعات بودند و بیشتر برای شوخی استفاده می شدند. این نوع حملات در سال 2010 زمانی که مایکروسافت “نمای محافظت شده” را معرفی کرد – روبان زرد رنگی که به کاربران هشدار می داد که عملکرد ماکروها را فعال نکنند، از بین رفتند. استفاده از ماکروها زمانی دوباره معرفی شد که عوامل تهدید متوجه شدند که با کمی مهندسی اجتماعی می توانند کاربران را متقاعد کنند که ماکروها را فعال کرده و سپس از آنها برای دانلود و اجرای فایل های باینری دیگر استفاده کنند.

اگرچه مایکروسافت چندین بار این مشکل را تایید کرد، استفاده مخرب از ماکروهای آفیس و آسیب‌پذیری‌ها در طول سال‌ها محبوبیت بیشتری پیدا کرده است. تا ژانویه 2022، تجزیه و تحلیل ما نشان داد که 61% درصد از کل پیلودهای مخرب پیوست شده به ایمیل‌های ارسال شده به مشتریان ما، انواع مختلفی از اسناد مانند xlsx، xlsm، docx، doc، ppt و موارد دیگر بود. آخرین آمار Check Point ThreatCloud ما نشان می دهد که فایل های اکسل به تنهایی 49 درصد از تمام فایل های مخرب دریافت شده از طریق ایمیل را تشکیل می دهند.

به طور معمول، یک ایمیل با دقت مهندسی شده اجتماعی حاوی یک فایل اکسل با یک ماکرو مخرب، سلاح انتخابی برای بازیگران ساده و همچنین گروه‌های درجه یک APT است.

پس از اعلام قصد خود برای مسدود کردن ماکروهای VBA در اسناد آفیس در ماه فوریه، در اوایل ژوئیه، زمانی که مایکروسافت تصمیم خود را تغییر داد، یک تغییر غیرمنتظره در طرح ایجاد شد. در پاسخ به یک شکایت کاربر، نماینده مایکروسافت اعتراف کرد که آنها تصمیم خود را «بر اساس بازخورد» پس گرفته اند.

مایکروسافت با واکنش شدید کاربران روبه‌رو شد و از آن زمان اجرای مسدودسازی ماکرو VBA را از سر گرفته است و توضیح می‌دهد که عقب نشینی ماه جولای فقط موقتی بوده است.

در مقابل این پس‌زمینه، عوامل تهدید شروع به جستجوی جایگزین‌هایی برای زنجیره‌های ایمیل مخرب غیرقابل اجرا کرده‌اند که عمدتاً با انواع مختلف فایل‌های آرشیو مانند .ZIP و . RAR. در بسیاری از موارد آن فایل‌های بایگانی با رمز عبور محافظت می‌شوند و رمز عبور در بدنه ایمیل نوشته شده است. این فایل‌های آرشیو بیشتر شامل فایل مخرب یا در برخی موارد شامل یک فایل بی‌خیم اضافی است که به فایل مخرب منتهی می‌شود.

در ماه آوریل، Emotet به لینک‌های URL OneDrive فایل‌های فشرده حاوی فایل‌های مخرب xll ایمیل می‌فرستد. این فایل‌های xll کتابخانه‌های .dll هستند که برای اکسل طراحی شده‌اند و عوامل تهدید معمولاً از یک تابع xlAutoOpen صادر شده برای دانلود و اجرای بارهای مخرب استفاده می‌کنند. ابزارها و خدمات مختلف موجود، مانند Excel-DNA، از قبل برای ساختن دانلود کننده های xll. در دسترس هستند.

نوع دیگری از فایل‌های بایگانی که جایگزین رایجی برای maldocها شد، استفاده از آرشیوهای ISO است که مکانیسم امنیتی Mark-of-the-Web را دور می‌زند. همراه با ترکیبی از .hta payload، آنها می توانند مانند اسناد قانونی به نظر برسند اما کدهای مخرب را در پس زمینه اجرا کنند. Bumblebee، یک بارکننده بدافزار که در فوریه شناسایی شد، بارهای مختلفی را ارائه می‌کند که اغلب منجر به حملات باج‌افزاری می‌شود و گزارش شده است که در ابتدا شامل فایل‌های iso. ارسال شده از طریق ایمیل است.

در ماه ژوئن، ما همچنین گزارش دادیم که بدافزار Snake Keylogger، پس از مدت‌ها غیبت به فهرست تهدیدات جهانی ماهانه ما بازگشته است. پیش از این، بدافزار عموماً از طریق ایمیل‌هایی که شامل پیوست‌های docx یا xlsx با ماکروهای مخرب است، منتشر می‌شد، اما بازگشت آن به فهرست نتیجه توزیع آن از طریق فایل‌های PDF بود – احتمالاً تا حدی به دلیل اعلام مایکروسافت.

بنابراین، اگرچه ماکروهای اینترنتی اکنون به طور پیش‌فرض مسدود خواهند شد، مجرمان سایبری همچنان به تکامل تاکتیک‌های خود ادامه می‌دهند و با انواع فایل‌های جدید خلاق‌تر می‌شوند، درست همانطور که در Emotet، Bumblebee و Snake یافتیم. استفاده از فایل‌های بایگانی مختلف برای مجرمان سایبری موفقیت‌آمیز است، زیرا اکثر مردم آن فایل‌ها را به‌عنوان مخرب بالقوه نمی‌بینند و به فایل‌هایی که داخل بایگانی هستند اعتماد می‌کنند، زیرا آن‌ها مستقیماً از وب نمی‌آیند. با نگاهی به آینده، ما فقط می‌توانیم انتظار داشته باشیم که خانواده‌های بدافزار پیچیده‌تر، توسعه زنجیره‌های آلوده جدید را با انواع فایل‌های مختلف که با رمز عبور محافظت می‌شوند تا با افزایش حملات مهندسی اجتماعی پیشرفته، تسریع کنند.

درک خطرات مهندسی اجتماعی و چگونگی شناسایی یک حمله برای کارمندان شما هرگز مهم نبوده است. مجرمان سایبری اغلب یک ایمیل ساده ارسال می‌کنند که حاوی هیچ بدافزاری نیست، اما جعل هویت شخصی شما را می‌شناسد تا با شما وارد گفتگو شود. سپس پس از جلب اعتماد شما، فایل مخرب ارسال خواهد شد. و به یاد داشته باشید، ممکن است دیگر یک سند آفیس یا فایل exe نباشد، بلکه نوع دیگری از فایل مانند iso. یا PDF یا زنجیره های آلوده ای باشد که انواع فایل های مختلف را ترکیب می کند. این آموزش کاربر یکی از مهم‌ترین بخش‌های یک استراتژی امنیت سایبری مؤثر است، اما ممکن است عاقلانه باشد که یک راه‌حل امنیتی قوی برای ایمیل وجود داشته باشد، که پیوست‌ها را قرنطینه و بازرسی کند و از ورود هر نوع فایل مخرب به شبکه جلوگیری کند. اولین مکان.