Macro Excel 4.0, còn được gọi là macro XLM 4.0, là một tính năng ghi và phát lại lành tính của Microsoft Excel được giới thiệu vào năm 1992. Phần mã lập trình này là một giải pháp để tự động hóa các tác vụ lặp đi lặp lại trong Excel, nhưng thật không may, cũng là một cửa hậu bí mật để phân phối phần mềm độc hại.
Giống như người tiền nhiệm của nó, macro Visual Basic for Application (VBA), macro Excel 4.0 đang ngày càng bị khai thác để lưu trữ phần mềm độc hại ẩn. Các tác nhân đe dọa có thể dễ dàng vũ khí hóa tính năng 30 năm tuổi này để tạo ra các kỹ thuật tấn công mới vì chúng có thể làm xáo trộn mã XML để che giấu các macro đáng ngờ.
Điều làm cho điều này trở thành một vectơ tấn công phổ biến như vậy là macro Excel 4.0 là một thành phần công thức thiết yếu của khả năng cốt lõi của Excel. Chúng được sử dụng thường xuyên trên các quy trình kinh doanh khác nhau và không có khả năng bị vô hiệu hóa hoặc không dùng nữa. Do đó, các tác giả phần mềm độc hại thường lẻn một tải trọng độc hại thông qua mã macro vào tài liệu Excel và gửi nó dưới dạng tệp đính kèm email, giống như họ đã làm trong sự cố macro 4.0 đầu tiên.
Cuộc tấn công macro Excel 4.0 đầu tiên
Kể từ làn sóng tấn công vĩ mô 4.0 đầu tiên vào giữa tháng 2 năm 2020[1], một số lượng lớn tội phạm mạng đã sử dụng kỹ thuật này. Nó liên quan đến một trang tính bị nhiễm với một lệnh độc hại ẩn trong một công thức, được gửi như một phần của tệp đính kèm Excel.
Những kẻ tấn công sử dụng các chiến thuật kỹ thuật xã hội để dụ mục tiêu mở tệp. Khi mở, nạn nhân được yêu cầu nhấp vào nút "Bật chỉnh sửa", nút này bật macro độc hại.
Sau cuộc tấn công đầu tiên, các tác nhân đe dọa tiếp tục tận dụng kỹ thuật trốn tránh này để tạo ra nhiều cuộc tấn công hơn, với mức tăng đột biến từ tháng 5 đến tháng 7 năm 2020[2].
Macro "rất ẩn"
Macro có thể được chèn lén lút và ẩn trong tệp Excel bằng cách sử dụng các chiến lược xáo trộn.
Ví dụ: một trang tính được đặt thành "Rất ẩn", có nghĩa là trang tính này không thể truy cập dễ dàng thông qua giao diện người dùng Excel và không thể được tiết lộ nếu không có sự trợ giúp của công cụ bên ngoài. Các macro ẩn trong trang tính Excel có thể được kích hoạt thông qua truy vấn web hoặc chúng có thể tải xuống phần mềm độc hại khi thực thi công thức. Các tác nhân đe dọa tận dụng lỗ hổng này để cung cấp tải trọng độc hại thông qua tải lên tệp hoặc tệp đính kèm email và khai thác lỗ hổng hệ thống để tạo ra các vectơ tấn công mới.
Chiến thuật này, kết hợp với các thủ đoạn kỹ thuật xã hội dựa trên nỗi sợ hãi đã được những kẻ tấn công tận dụng để truy cập từ xa và chạy lệnh trên các thiết bị bị xâm nhập. Trở lại vào tháng 5 năm 2020, kỹ thuật này đã bị lạm dụng đến mức Microsoft phải cảnh báo công chúng về một chiến dịch lừa đảo COVID-19[3]. Những kẻ tấn công đã gửi email với tiêu đề "BÁO CÁO TÌNH HÌNH COVID-19 của WHO", mạo danh Trung tâm John Hopkins.
Các tệp Excel đính kèm chứa một macro độc hại ẩn tải xuống và chạy NetSupport Manager RAT—một công cụ quản trị cho phép truy cập từ xa.
Bảo vệ chống lại việc tải lên tệp độc hại
Di chuyển sang VBA
Nhận thức được những khai thác này, Microsoft đã khuyến khích người dùng chuyển sang Visual Basic for Applications (VBA) [4]. Giao diện quét chống phần mềm độc hại (AMSI) được kết hợp với VBA có thể cung cấp sự xem xét kỹ lưỡng về hành vi của macro trong VBA, cho phép hệ thống quét các macro đáng ngờ và các hoạt động độc hại khác trong thời gian chạy.
Tích hợp AMSI với Microsoft Office
Microsoft cũng cho phép tích hợp AMSI với Office 365 để bao gồm quét thời gian chạy của macro Excel 4.0 để giúp phát hiện và chặn phần mềm độc hại dựa trên XLM.
Xóa bỏ Macro Payloads và tất cả phần mềm độc hại bằng Deep CDR
Công nghệ phòng ngừa mối đe dọa của chúng tôi giả định tất cả các tệp đều độc hại, sau đó vệ sinh và xây dựng lại từng tệp, đảm bảo khả năng sử dụng đầy đủ với nội dung an toàn khi đến tay người dùng. Tìm hiểu thêm về cách Deep CDR ngăn chặn các kỹ thuật né tránh trong tệp Excel và VBA stomping các kỹ thuật maldoc .
Ngoài ra, OPSWAT cho phép người dùng tích hợp nhiều công nghệ độc quyền để cung cấp thêm các lớp bảo vệ khỏi phần mềm độc hại. Một ví dụ như vậy là Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý , cho phép người dùng quét đồng thời với hơn 30 trình quét phòng chống mã độc (sử dụng AI/ML, chữ ký, phương pháp tìm kiếm, v.v.) để đạt được tỷ lệ phát hiện gần 100%. So sánh với một công cụ AV duy nhất, trung bình chỉ có thể phát hiện 40%–80% vi-rút.
Tìm hiểu thêm về Deep CDR , Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý và các công nghệ khác; hoặc trao đổi với chuyên gia OPSWAT để khám phá giải pháp bảo mật tốt nhất giúp chống lại các cuộc tấn công Zero-day và các mối đe dọa khác từ phần mềm độc hại tiên tiến.
Tham khảo
1 James Haughom, Stefano Ortolani. "Sự phát triển của vũ khí hóa vĩ mô Excel 4.0." Dòng cuối cùng. Ngày 2 tháng 6 năm 2020, https://www.lastline.com/labsb....
2 Baibhav Singh. "Sự phát triển của vũ khí hóa vĩ mô Excel 4.0 - Phần 2." VMware. ngày 14 tháng 10 năm 2020. https://blogs.vmware.com/netwo....
3 Phil Muncaster. "Microsoft cảnh báo về #COVID19 chuột "khổng lồ". Tạp chí Infosecurity. Ngày 21 tháng 5 năm 2020, https://www.infosecurity-magaz....
4 "XLM + AMSI: Bảo vệ thời gian chạy mới chống lại phần mềm độc hại macro Excel 4.0". Microsoft. ngày 3 tháng 3 năm 2021. XLM + AMSI: Bảo vệ thời gian chạy mới chống lại phần mềm độc hại macro Excel 4.0 | Blog Bảo mật của Microsoft.
