正規の Excel マクロとマルウェアを配布する Excel マクロの違いを見分けるのが難しい理由を脅威研究者が説明します。
Microsoft は 4.0 年に Windows 3.0 および 3.1 用の Excel 1992 をリリースし、多くの企業が今でもこの機能を従来の業務で使用しています。問題は、悪役が マルウェアを配信する新しい方法として Excel シートとマクロの使用を開始.
Deep Instinct の脅威研究責任者である Tal Leibovich 氏は、DEFCON 29 のプレゼンテーションで、この従来のスクリプト言語が最近のマルウェア配信の増加の媒体となっている理由を説明しました。 Leibovich 氏は先週、Elad Ciuraru 氏とともに「異常検出を使用した Excel 4.0 マクロ株の特定」について発表しました。 Deep Instinct は、エンドポイント保護を専門とし、深層学習を使用してサイバー攻撃を阻止するサイバーセキュリティ会社です。
セキュリティ組織が最初にスパイクに気づいた 2020 年 XNUMX 月にこの種の攻撃が発生。 マイクロソフト Excel 4.0 マクロ マルウェアに対する新しいランタイム防御機能をリリース 4.0月。 Leibovich 氏は、過去 XNUMX 年間で Excel XNUMX マクロを攻撃に使用するハッカーが大幅に増加したと述べました。
「この古いスクリプト言語を使用した攻撃は非常に限定的であると予想されるでしょうが、私たちは新しい難読化技術を目にしています」と彼は言いました。
リーボビッチ氏のプレゼンテーションは、 DEFCON 29のAIビレッジ。それらのセッションのいくつかはグループの YouTubeチャンネル および 攣縮チャンネル.
見る: セキュリティインシデント対応ポリシー (TechRepublic Premium)
ハッカーは創造的な戦術を使用して新しい攻撃ベクトルを構築しています。リーボビッチ氏は、ハッカーは他の Excel コマンドや Windows への API 呼び出しも攻撃に使用していると述べた。
「Excel シート上で短いコマンドをある場所と別の場所で使用することができ、異なるセル間をジャンプすることで攻撃を引き起こすことができます。」と彼は言いました。 「これが、多くの攻撃者が検出されないマルウェアを作成する方法です。」
問題は、Excel のこの正当な機能が必ずしも悪意のあるものであるとは限らないことです。
「多くの組織には、マクロを使用するレガシー ファイルがあります」と彼は言いました。
同氏は、偽陽性やノイズを生成することなく実際の脅威を発見できる優れた検出エンジンを開発することが課題だと述べた。
「Excel の自動オープン機能は基本的なものであり、誰もがそれを使用しているため、誤ったアラームの生成を避けるためにマクロの特定の機能を検出する必要があります」と彼は言いました。 「そのために私たちが使用する主なツールはディープラーニングです。」
マクロベースのマルウェアから保護する方法
なぜこの脅威が長年にわたってこれほど執拗に続いているのかを理解するのは簡単です。マクロ ワームとウイルスは主に Microsoft マクロの Visual Basic for Applications プログラミングを使用し、Microsoft Office は普及している生産性スイートです。基本的な計算は、Microsoft がこの分野で優勢であり、Visual Basic for Applications を使用しているということです。NTT のデジタル フォレンジックおよびインシデント対応担当ディレクターである Aaron Card 氏によると、アプリケーションは非常に標的にされやすく、多くの組織が依然としてマクロの問題に適切に対処できていないということです。株式会社
この種のマルウェアから身を守るための核となる選択肢は、電子メールやファイル転送経路から受信するあらゆるマクロ有効ファイルやマクロ埋め込みファイルをブロックすることだとカード氏は述べた。
「O365 組織は、ファイルが何らかの理由で防御をすり抜けた場合、または誰かが外部ドライブやメディアからファイルの実行を許可された場合に備えて、ユーザーへの通知の有無にかかわらず、グループ ポリシーを『すべてのマクロを無効にする』ように設定することもできます。」彼は言った。
また、ほとんどのエンドポイントウイルス対策ソフトウェアはマクロをブロックするように構成できます。
同氏は、「機能するためにマクロ機能を絶対に使用する必要がある組織の場合は、すべての機能とユーザーを仮想デスクトップ環境で実行して、持続するマクロマルウェアによる拡散や被害を大幅に制限することをお勧めします」と述べた。
見る: 知っておくべき Excel の 30 のヒント (TechRepublic Premium)
Card 氏によると、サイバーセキュリティに関するユーザー教育は、影響よりも光学に重点が置かれています。彼の経験によれば、ユーザー教育は、繰り返し実践され、評価された場合にのみ効果を発揮します。もう 1 つの鍵は、人々がルールを破ったときの実際の結果を確立することです。
カード氏は、ユーザーの行動に影響を与えるのに効果的な具体的な戦術が2つあると述べた。 1 つ目は、責任あるサイバーセキュリティ行動に関する具体的な文言をパフォーマンス レビューに追加することです。
「たとえば、チームメンバーはフィッシングメールをクリックしたり、安全でないデバイスを仕事で使用したりすることがほとんどないか、まったくありませんか」と彼は述べた。 「可能な場合はボーナスなどのインセンティブを追加することも、企業のセキュリティ体制を強化するのに役立ちます。」
もう 1 つの戦術は、ウォッチで発生した、または発生していないユーザー関連のセキュリティ エラーの数に基づいて、各リーダーに月次または四半期ベースでスコアを与えることです。
「これらのスコアは一種のリーダーボードまたはスコアカードで社内で共有され、この種の説明責任が人々をより良い成績に導く原動力となります」と彼は言いました。
また見てください
- '
- "
- 2020
- 7
- すべて
- 異常検出
- アンチウイルス
- API
- 周りに
- 攻撃
- BEST
- ベストプラクティス
- ビルド
- 挑戦する
- 企業
- 会社
- 作成
- クリエイティブ
- サイバー攻撃
- サイバーセキュリティ
- サイバーセキュリティ会社
- 深い学習
- 防衛
- 配達
- 検出
- デジタル
- 取締役
- 教育
- 効果的な
- エンドポイント
- エンドポイント保護
- Excel
- 体験
- 特徴
- 名
- function
- 与え
- 良い
- グループ
- ハッカー
- こちら
- HTTPS
- 画像
- 影響
- インシデント対応
- 増える
- インサイダー
- IT
- それセキュリティ
- 保管
- キー
- 言語
- 最新の
- 学習
- 限定的
- マクロ
- マルウェア
- 3月
- 行進2020
- math
- メディア
- Microsoft
- Microsoft Office
- ニュース
- ノイズ
- 通知
- 業務執行統括
- 光学
- オプション
- その他
- のワークプ
- パフォーマンス
- フィッシング詐欺
- 方針
- プレミアム
- 生産性
- プログラミング
- 守る
- 保護
- 研究
- 応答
- レビュー
- ルール
- ラン
- ランニング
- 画面
- セキュリティ
- セッションに
- shared
- ショート
- So
- ソフトウェア
- ソリューション
- スペース
- Spot
- 広がる
- 開始
- 株
- 戦術
- 脅威
- サムネイル
- ヒント
- Twitch
- users
- 自動車
- 村
- バーチャル
- ウイルス
- よく見る
- 週間
- ウィンドウズ
- 仕事
- 作品
- 年
- ユーチューブ