پنهان کردن ماکروهای مخرب درون فایل‌های مایکروسافت آفیس توسط مجرمان سایبری یک بار دیگر تبدیل به یکی از متداول‌ترین روش‌ها برای اجرای حملات آن‌ها شده است. در این‌جا نگاهی می‌اندازیم به هر‌آن‌چه که باید درباره‌ی بدافزارهای ماکرو در سال 2017 بدانید.

اگر از کهنه‌کارهای دنیای امنیت سایبری باشید، احتمالاً زمانی را به خاطر می‌آورید که ماکروهای مایکروسافت آفیس در اواخر سال‌های 1990 و اوایل 2000 تبدیل به یکی از متداول‌ترین روش‌های انتقال بدافزار شدند. در آن زمان وقتی مایکروسافت و دیگران بالاخره مکانیزم خودکار ماکرو در نرم‌افزارهایشان را غیرفعال کردند، انتشار بدافزارهای ماکرو به سرعت افت کرد و سازندگان به روش‌های دیگر نفوذ روی آوردند.
حالا اما این بدافزارهای ماکرو دوباره بازگشته‌اند تا مجرمان با طعمه قراردادن کاربران نهایی از آنتی‌ویروس‌های مرسوم مبتنی بر امضا عبور کنند. همچنین این فقط مشکل ویندوز نیست. آن‌ها به سمت سیستم‌عامل مک هم حرکت کرده‌اند.
در این پست نگاهی می‌اندازیم به این که بدافزارهای ماکرو دقیقاً چه هستند، چه‌طور عمل می‌کنند و چه‌طور می‌توانید از رشد آن‌ها درون سازمان خود جلوگیری کنید.

ماکرو چیست؟

ماکروها برنامه‌های کوچکی هستند که برای انجام وظایف تکرارشونده، درون برنامه‌های دیگر تعبیه می‌شوند.
به عنوان مثال حسابداری را درنظر بگیرید که در فایل اکسل خود از ماکرو استفاده می‌کند تا داده‌ها را از دیتابیس خارجی وارد اکسل کند. یا یک ماکروی ورد که می‌تواند برای اتوماسیون پورسه‌های معمول استفاده شود، مثل اضافه کردن سربرگ به اسناد یا تکمیل جداول از قبل طراحی‌شده به منظور ایجاد گزارش. از دیگر موارد کاربرد آن‌ها می‌توان به محاسبات حقوق و دستمزد و نرم‌افزارهای هوش تجاری اشاره کرد.
ماکروها به علت سادگی و راحتی در پیکربندی، نیاز به تخصص بالای برنامه‌نویسی ندارند. سازندگان آن معمولاً رویه‌ی مورد نظر را «ضبط» می‌کنند، و بعد هرگاه که به آن نیاز داشته باشند آن را پلی‌بک می‌کنند. سادگی، کارآمدی و صرفه‌جویی در زمان ماکروها، استفاده از آن‌ها را به‌ویژه در برنامه‌های آفیس مثل ورد و اکسل بسیار متداول کرده. که به همین علت هم بدافزارهای ماکرو کارآمدی بالایی دارند. ماکروها چاقوهای دو لبه هستند.

تکامل بدافزارهای ماکرو

زمانی که مایکروسافت قابلیت ماکرو را در مجموعه‌ی آفیس معرفی کرد، این اسکریپت‌ها به صورت خودکار فعال بودند. یعنی اینکه اگر کسی یک فایل ورد یا اکسل دارای ماکرو را به شخص دیگری ایمیل می‌کرد، وقتی گیرنده آن را باز می‌کرد، ماکرو به صورت خودکار اجرا می‌شد. سازندگان بدافزارها به زودی از این عملکرد بهره‌برداری و آن را اکسپلویت کرده، بدافزارها را در قالب ماکرو درون این فایل‌ها تعبیه و آن‌ها را به اهداف ناآگاه ایمیل کردند.
سرانجام مایکروسافت و دیگران تصمیم گرفتند تا این قابلیت خودکار را غیرفعال کنند و در عوض کاربران به صورت دستی ماکرو را در فایل‌هایشان فعال کنند.این بدافزارها از آن زمان و با آگاه شدن کاربران از ریسک باز کردن فایل‌های مشکوک و ایمیل‌هایی که از مبدأ ناشناس ارسال می‌شدند، به تدریج به فراموشی سپرده شدند.
با این حال در چند سال گذشته شاهد بوده‌ایم که مهاجمان با تجدید حیات ماکروها از آن‌ها در صف اول فایل‌های دانلود شونده و قراردادن آخرین پی‌لودها (معمولاً باج‌افزارها و تروجان‌ها) استفاده کرده‌اند. در این‌جا چند تا از معمول‌ترین تهدیدهای اخیر را مرور می‌کنیم:

  • باج‌افزار Locky و تروجان بانکی Dridex هر دو در آغاز کار با ایمیل‌های فیشینگی توزیع شدند که کاربران را در باز کردن ضمیمه های ایمیل حاوی بدافزارهای ماکرو فریب می‌داد.
  • یک فایل اکسل آلوده که آلودگی موسوم به BlackEnergy را در شرکت انرژی اوکراین فعال کرد و باعث قطعی سراسری انرژی در اوکراین شد و در مرگ 225000 نفر در زمستان آن سال مؤثر بود.
  • بدافزار دیگری به نام Hacitor، که تروجان‌های Pony و Vawtrack را به شبکه وارد می‌کند تا اطلاعات محرمانه مانند پسوردها را بدزدد.

درحقیقت بنا به گزارش تهدید امنیت اینترنت در سال 2017 شرکت سیمانتک، متداول‌ترین الگوی حمله در سال 2016 این بوده که مجرمان، کاربران را فریب می‌دادند تا یک فایل جاوااسکریپت یا یک فایل آفیس با ماکرو را دانلود کنند.

typical-malware-attack-cycle

چه چیزی بدافزارهای ماکرو را این‌قدر مؤثر و توقف آن‌ها را این‌قدر دشوار ساخته؟

بدافزارهای ماکرو به چند دلیل مورد علاقه‌ی هکرها هستند:

  1. از فرمت فایلی استفاده می‌کنند که تقریبا به صورت جهانی پذیرفته‌شده است
    حمله‌کننده می‌تواند روی این حقیقت سرمایه‌گذاری کند که استفاده و به اشتراک گذاری اسناد آفیس جزو کارهای روزانه‌ی اکثر کاربران است. آن‌ها مجبور نیستند کاربران را ترغیب کنند تا فایل‌های اجرایی‌ای را دانلود کنند که برنامه‌های آنتی‌ویروس به‌هر‌حال آن‌ها را بلاک می‌کنند. در عوض هکرها فایل‌های آشنایی مثل گزارش‌ها، فاکتورها، فایل‌های اکسل و … را با ایمیل‌های فیشینگ تحویل می‌دهند. تمام کاری که باید بکنند این است که خود ایمیل به قدر کافی متقاعد کننده باشد تا کاربر فایل داخل آن را باز کند.

  2. ماکروها با سادگی مسلح می‌شوند.
    بدافزار ماکرو از مکانیزم اسکریپت در مایکروسافت آفیس، که اغلب به زبان ویژوال بیسیک یا جاوااسکریپت نوشته می‌شوند، بهره می‌برد. و هر کسی با یک دانش ابتدایی برنامه‌نویسی می‌تواند یک بدافزار ماکرو بنویسد. از آن‌جا که ویژوال بیسیک اجازه‌ی عملکرد محدودی را می دهد، بدافزارهای ماکروی مدرن معمولاً درخواستی به سرور هدف ارسال می‌کنند تا مرحله‌ی بعدی را به دست بیاورند (درست مثل ماکروهای قانونی در استخراج داده‌ها از یک منبع خارجی)، و این مرحله‌ی بعدی همان چیزی است که کار کثیف آن‌جا صورت می‌گیرد.

  3. هکرها همان قدر که ماشین‌ها را هک می‌کنند، آدم‌ها را هم هک می‌کنند.
    هرچند مایکروسافت ماکروها را به صورت پیش‌فرض غیرفعال کرده تا بدافزارهای ماکرو را خنثی کند، اما کاربران همچنان برای فعال سازی دوباره‌ی آن حق انتخاب دارند. و این در یک محیط شلوغ کاری بی‌تفاوت بودن و نادیده گرفتن هشدارها کاملاً عادی است. متأسفانه این به بدافزارهای ماکرو دسترسی مستقیم به ماشین‌های آن‌ها را می‌دهد که به صورت بالقوه شامل دسترسی به کل شبکه، اطلاعات و زیرساخت شرکت می‌شود.

چه باید کرد؟

در این‌جا چند گزینه را برای محافظت از سازمانتان از بدافزارهای ماکرو ذکر می‌کنیم:

  • ماکروها را در کل سازمانتان غیرفعال کنید.
    اگرچه این موضوع نتیجه‌ی طبیعی نوشته‌های قبل است ولی در عمل ساده نیست. چون برخی نرم‌افزارها و پروسه‌های کاری روی عملکرد ماکروها تکیه می‌کنند. مانند راهکارهای هوش تجاری و حسابداری.

  • لیست سفید
    اگر فقط بخواهیم به ماکروهای مجاز اجازه بدهیم چه؟ شاید. ماکروها یک فرمت امضا دارند که فقط اجازه‌ی اجرای ماکروهایی را می‌دهد که امضای دیجیتال داشته باشند. اما کار پشتیبانی و نگهداری آن از نقطه نظر آی‌تی دشوار است، به ویژه زمانی که سازمان رشد می‌کند.

  • روی آموزش کاربران در موارد امنیتی سرمایه‌گذاری کنید.
    مایکروسافت در مجموعه‌ی آفیس 2016 یک مکانیزم امنیتی برای بلاک کردن ماکروهای مخرب در نظر گرفته است اما با وجود بسیاری از انواع دیگر بدافزارها آموزش کاربران بسیار حیاتی است. کاربران را در تشخیص ایمیل‌های فیشینگ آموزش دهید و روی اهمیت غیرفعال نگه‌داشتن ماکروها تأکید کنید، مگر اینکه کاملاً به فایل مورد نظر و ارسال کننده‌ی آن اطمینان داشته باشند.

  • استفاده از یک آنتی ویروس قدرتمند
    در آخر یکی از مطمئن ترین خطوط دفاعی استفاده از یک آنتی ویروس قدرتمند است. آزمون های انجام شده روی آنتی‌ویروس کسپرسکی نشان داده است که این آنتی ویروس در میان آنتی‌ویروس های مرسوم دیگر بیشترین موفقیت را در داشته و به کسب جوایز متعددی در این حوزه نائل آمده است. شرکت اورین، نماینده رسمی آنتی‌ویروس کسپرسکی با شما در رسیدن به این هدف همراه خواهد بود.

+ منبع