Excel все ще залишається головним болем безпеки після 30 років через цю одну функцію

Microsoft випустила Excel 4.0 для Windows 3.0 і 3.1 у 1992 році, і багато компаній досі використовують цю функціональність у застарілих операціях. Проблема в тому, що у поганих акторів є почали використовувати таблиці та макроси Excel як новий спосіб доставки зловмисного програмного забезпечення. 

Тел Лейбович, керівник відділу дослідження загроз у Deep Instinct, пояснив під час презентації під час DEFCON 29, чому ця застаріла мова сценаріїв стала засобом для нещодавнього зростання поширення зловмисного програмного забезпечення. Минулого тижня Лейбович презентував «Ідентифікація штамів Excel 4.0 Macro за допомогою виявлення аномалій» разом з Еладом Сіурару. Deep Instinct — компанія з кібербезпеки, яка спеціалізується на захисті кінцевих точок і використовує глибоке навчання для припинення кібератак. 

Охоронні організації першими помітили сплеск у березні 2020 року такого роду атак. microsoft випустила новий захист середовища виконання від зловмисного програмного забезпечення для макросів Excel 4.0 в березні. Лейбович сказав, що за останні два роки він помітив значне збільшення кількості хакерів, які використовують макроси Excel 4.0 для атак. 

«Можливо очікувати, що атаки з використанням цієї старої мови сценаріїв будуть дуже обмеженими, але ми бачимо нові методи обфускації», — сказав він.

Презентація Лейбовича була частиною AI Village на DEFCON 29. Кілька з цих сесій проходять у групі YouTube канал та канал Twitch.

ПОБАЧИТИ: Політика реагування на випадки безпеки (TechRepublic Premium)

Хакери використовують творчу тактику для створення нових векторів атак. Лейбович сказав, що в атаках хакери також використовують інші команди Excel і виклики API до Windows.  

«Ви можете використовувати коротку команду в одному місці, а іншу тут, на аркуші Excel, і, переходячи між різними клітинками, ви можете створити атаку», — сказав він. «Таким чином багато зловмисників створюють шкідливі програми, які не виявляються».

Проблема полягає в тому, що ця законна можливість у Excel не завжди є шкідливою.

«Багато організацій мають застарілі файли, які використовують макроси», — сказав він. 

Він сказав, що завдання полягає в тому, щоб створити хороший механізм виявлення, який зможе виявляти реальні загрози без створення помилкових спрацьовувань і шуму.

«Можливість автоматичного відкриття Excel є фундаментальною, і кожен використовує її, тому ви повинні виявити конкретні функції макросу, щоб уникнути створення помилкових тривог», — сказав він. «Основний інструмент, який ми використовуємо для цього, — глибоке навчання».

Як захиститися від шкідливих програм на основі макросів

Легко зрозуміти, чому ця загроза була такою стійкою протягом багатьох років. Макро-хробаки та віруси в основному використовують програмування Visual Basic for Applications у Microsoft Macros, а Microsoft Office є поширеним набором для продуктивності. За словами Аарона Карда, директора відділу цифрової криміналістики та реагування на інциденти в NTT, основна математика полягає в тому, що Microsoft домінує в цьому просторі, і використовує Visual Basic для додатків, які добре та легко націлені, і багато організацій досі не завжди належним чином вирішують проблему макросів. ТОВ

Ядерний варіант захисту від такого роду зловмисного програмного забезпечення полягає в блокуванні будь-яких і всіх вхідних файлів із підтримкою макросів і вбудованих макросів з електронної пошти або шляхів передачі файлів, сказав Кард.

«Будь-яка організація O365 також може налаштувати групову політику на «вимкнення всіх макросів» з або без сповіщення користувача, якщо файл якимось чином прослизнув через захист або комусь було дозволено запустити файл із зовнішнього диска чи носія», він сказав.

Крім того, більшість антивірусних програм кінцевих точок можна налаштувати на блокування макросів.

«Якщо ви — організація, якій абсолютно необхідно використовувати функції макросів для функціонування, тоді я пропоную запускати всі функції та користувачів у середовищах віртуального робочого столу, щоб значно обмежити будь-яке поширення або пошкодження макрозловмисного програмного забезпечення, яке залишається», — сказав він. 

ПОБАЧИТИ: 30 порад щодо Excel, які вам потрібно знати (TechRepublic Premium)

За словами Карда, освіта користувачів щодо кібербезпеки – це більше оптика, ніж вплив. З його досвіду освіта користувачів працює лише тоді, коли її практикують і вимірюють знову і знову. Інший ключ — встановлення реальних наслідків, коли люди порушують правила.

Кард сказав, що є дві конкретні тактики, які ефективно впливають на поведінку користувачів. Перший включає в себе додавання конкретних формулювань про відповідальну поведінку в сфері кібербезпеки в огляди ефективності. 

«Наприклад, чи є у члена команди випадки натискання фішингових електронних листів чи використання незахищеного пристрою для роботи в низьких чи жодних випадках», — сказав він. «Додавання заохочення, наприклад бонусу, коли це можливо, також може допомогти посилити безпеку компанії».

Інша тактика полягає в тому, щоб щомісяця або щокварталу оцінювати кожного лідера на основі кількості пов’язаних із користувачем помилок безпеки, які виникли або не виникли на їх годиннику.

«Ці оцінки розподіляються внутрішньо в своєрідній таблиці лідерів або системі показників, і така підзвітність спонукає людей працювати краще», — сказав він.

Також див