Các nhà nghiên cứu bảo mật đã một lần nữa chứng minh lý do tại sao Microsoft thừa nhận rằng "macro bất ngờ có thể gây ra rủi ro bảo mật đáng kể". Trong một bài đăng trên blog gần đây, các nhà nghiên cứu bảo mật giải thích cách những kẻ tấn công đang sử dụng macro để tải xuống và thực thi ZLoader, một Trojan ngân hàng độc hại, mà không có bất kỳ mã độc hại nào có trong tệp ban đầu.
Giải phẫu của cuộc tấn công bắt đầu với một tài liệu Microsoft Word vô hại, tận dụng macro để tải xuống tài liệu Microsoft Excel. Điều này sau đó tạo ra một macro mới trong tệp XLS và cập nhật chính sách đăng ký để vô hiệu hóa Excel Macro cảnh báo. Do đó, tệp Excel có thể thực thi macro độc hại của nó để tải xuống ZLoader mà không cần bất kỳ cảnh báo nào.
Giống như rất nhiều cuộc tấn công khác, tài liệu Microsoft Word ban đầu được gửi dưới dạng email lừa đảo. Tuy nhiên, chuỗi tấn công đặc biệt này là mới vì macro ban đầu không có khả năng bị phát hiện bởi bất kỳ công cụ chống vi-rút hoặc chống phần mềm độc hại nào. Tất nhiên, nhiều tổ chức vô hiệu hóa macro làm chính sách mặc định, nhưng tài liệu Microsoft Word ban đầu này được định dạng theo cách thúc giục người dùng "Bật chỉnh sửa" và "Bật nội dung".
Sự kết hợp giữa kỹ thuật xã hội và khai thác kỹ thuật này là điều làm cho loại tấn công này trở nên hiệu quả.
Ngay cả vào một ngày đẹp trời, các công cụ chống vi-rút và chống phần mềm độc hại vẫn phải vật lộn để bắt kịp với khối lượng các mối đe dọa mới và cực kỳ dễ bị tổn thương trước các mối đe dọa zero-day. OPSWAT Nghiên cứu cho thấy phải mất hơn 30 công cụ chống vi-rút và chống phần mềm độc hại để đạt được tỷ lệ phát hiện lớn hơn 99%, do đó các giải pháp đa quét có thể giảm đáng kể thời gian dừng cho phần mềm độc hại tiềm ẩn. Ngay cả các hộp cát truyền thống cũng có thể bị tránh khi phần mềm độc hại ngày càng trở nên tinh vi. Các mối đe dọa mới, chẳng hạn như macro ZLoader này, đáng chú ý là hiệu quả trong việc tránh bị phát hiện.
Trust No File
Mô hình bảo mật zero-trust đã trở thành một phương pháp ngày càng phổ biến để bảo vệ người dùng và thiết bị với sự khôn ngoan của nó là "không tin tưởng ai", nhưng sự khôn ngoan tương tự này hiếm khi được mở rộng cho Bảo mật tập tin. Rõ ràng là bây giờ, khi các công cụ chống vi-rút và chống phần mềm độc hại tiếp tục vật lộn với tỷ lệ phát hiện của chúng, các tổ chức cũng nên "không tin tưởng vào tệp".
Nếu một tổ chức giả định rằng tất cả các tệp đều độc hại, thì tổ chức đó có thể kiểm tra và sau đó vệ sinh dữ liệu của mình bằng công nghệ Giải giáp và Tái thiết Nội dung (CDR).
Đầu tiên, CDR phân tách tất cả các tệp thành các thành phần riêng biệt, trong đó tất cả các yếu tố được xác định. Thông thường, các macro có nguy cơ cao sẽ bị xóa, do đó loại bỏ mọi nội dung độc hại tiềm ẩn. Tiếp theo, CDR tái tạo lại tệp một cách nhanh chóng và an toàn từ các thành phần đã được Làm sạch, giữ nguyên siêu dữ liệu và đặc điểm tệp của nó. Ngoài ra, khách hàng có khả năng cho phép liệt kê các macro cụ thể mà họ muốn giữ lại. Các tệp được xây dựng lại, với tính toàn vẹn cấu trúc tệp còn nguyên vẹn, được gửi đến người dùng cuối mà không làm mất khả năng sử dụng. .
Deep CDR Làm sạch và tái tạo hơn 100 loại tệp phổ biến và xác minh hơn 4.500 loại tệp. Trung bình, Deep CDR nhanh hơn 30 lần so với hầu hết các công nghệ phân tích động và có thể chặn phần mềm độc hại được thiết kế để tránh môi trường hộp cát truyền thống. Deep CDR cũng tích hợp với Công nghệ OPSWAT Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý , ngăn ngừa thất thoát dữ liệu chủ động (DLP) và file-based vulnerability assessment .
Không thành vấn đề nếu các tổ chức quét các tệp độc hại khi kẻ tấn công có thể tránh bị phát hiện bằng macro. Sẽ không có vấn đề gì nếu Microsoft cảnh báo người dùng về rủi ro bảo mật của macro khi kẻ tấn công có thể vô hiệu hóa các cảnh báo đó. Không có vấn đề gì nếu các tổ chức vô hiệu hóa macro khi kẻ tấn công có thể tận dụng kỹ thuật xã hội hiểu biết để khiến người dùng bật lại macro.
Điều thực sự quan trọng là nắm lấy tâm lý "tin tưởng không có hồ sơ" và có các chính sách và kiểm soát tại chỗ để hiện thực hóa triết lý này.
OPSWAT có thể giúp. Liên hệ với một trong những chuyên gia an ninh mạng của chúng tôi ngay hôm nay để tìm hiểu thêm về cách vệ sinh dữ liệu bằng Deep CDR .
