Heimdal™ Security’s glemmekasse – Makrovirussen
Definition af makrovirus. Første optræden og evolution. Beskyt din virksomheds aktiver mod makrovirus.
This post is also available in:
English
Makrovirus var ligefrem ”en tony” i slutningen af 90’erne og har helt sikkert gjort sit bedste for at sikre en en god plads i malware hall of fame. Nogle rapporter tyder på, at Melissa, en makro virus variant, har forårsaget skader, der beløber sig helt op til 1.1 millioner dollars.
‘Wow’ faktoren er stærk i denne, i betragtning af, at vi taler om malware, som har skabt ravage længe før internettet blev en vare. Nej, jeg er ikke nostalgisk, selvom 90’erne var fantastiske – makrovirus har gjort comeback, og desværre kan vi ikke ønske dem væk. Denne artikel er dedikeret til denne skive historie, som i stedet for at hvile lykkeligt bag et støvet display glas, har besluttet at gå på krigsstien en sidste gang.
Hvad er en makro helt præcist?
Ifølge Wiki er en makro (dvs. en forkortelse for makro-instruktion) “en regel eller et mønster, der angiver, hvordan en bestemt inputsekvens skal knyttes til en udskiftningsoutputsekvens efter en defineret procedure.” Oversat fra Klingon, definitionen beskriver en måde at automatisere tastatur eller mus kommandoer i et edb-program.
Makroer blev populariseret af tekstbehandling eller regneark software som Microsofts Word og Excel, men begyndte faktisk at være normen med fremkomsten af massive-multiplayer online gaming. Til denne dag, er det at skabe makroer i Excel eller Word en vanskelig proces, da det kræver noget kodning know-how – ja, du kan altid copy-indsætte den forsamlede kode fra online ressourcer som GitHub.
Die-hard Excel-brugere vil straks anerkende værdien af makroer, da de bliver afgørende, når arbejdsbyrden stiger. I MS Word og Excel kan makroer optages ved at hente tastetryk/museklik direkte med makrooptageren eller ved at skrive sekvensen med tasteklik ned i et Visual Basic for Application-vindue.
Disse makroer kan være lige så lette eller komplicerede som du gerne vil have dem til at være. Brug funktionen Makrooptager til at afskrive den musekliksekvens, der er knyttet til oprettelse af en tabel med to celler/to kolonner. Denne makro kan aktiveres ved at føje en tastaturgenvej til den (f.eks. CTRL + T).
Så hver gang du trykker på denne spcielle combo, vil makroen auto-indsætte en tabel med de attributter, jeg lige har beskrevet. Hvis du er en hardcore bruger, kan du altid oprette brugerdefinerede makroer, der kan håndtere mere komplekse tekstbehandlingsopgaver eller regnearkshandlinger. Min all-time favorit, kode-spundet makro er den såkaldte “Hej, verden!” billedtekst.
Dybest set, hver gang du åbner denne projektmappe, popper en brugerdefineret besked boks op på skærmen. Hvorfor skulle du gide at skrive al den kode ned bare for en popup? Der er intet galt med at lære at kode.
Den anden og vigtigste årsag er, at denne meddelelse, der dukker op på skærmen, betyder, at makrofunktionen automatisk er aktiveret. Husk det, fordi vi vil tale om det i næste afsnit af denne artikel. For dem af jer, der søger VBA oplysning, her er koden til “Hej, verden!” billedtekst.
Public Sub Example
Msgbox “Hello darkness, my old friend.”
End Sub
Hvad er en makrovirus?
Nu, hvor vi endelig har fået makro delen af vejen, så lad os se, hvor makrovirus passer ind. Indtil videre har vi lært, at makroinstruktioner kan bruges til at automatisere nogle verdslige tekstbehandlingsopgaver (f.eks. indsætte popups, overskrifter, tabeller)
Men hvad ville der ske, hvis VBA-koden var skrevet inde i disse makro moduler havde et helt andet formål? Jamen, så får du, hvad der kaldes en makro virus. Nogle grimme små fætre er de og ganske vanskelige at opdage selv med moderne vedhæftede fil scannere. Fordi vi er blevet ganske glade for kedelige og akademisk ophidsende belysninger, her er hvordan SANS Ins2titute’s artikel Living with Malware definerer makro virus:
“En type computervirus, der er kodet som en makro, der er integreret i et dokument. (…) Disse programmer (f.eks.Excel og Word) giver dig mulighed for at integrere en makro i et dokument og få makroen til at udføres, hver gang dokumentet åbnes. ”
Fra denne erklæring, kan vi udlede følgende fakta:
- Makrovirus kan udvise orme-lignende-adfærd (forklaring: autoreplikering med det formål at inficere andre værter);
- Makrovirus kan inficere værten, hvis kravene er opfyldt (dvs. at automatisk kørsel af makro er slået til; filen gemmes lokalt).
- Makrovirus kan spredes via ethvert computerprogram, der understøtter makroinstruktioner.
I betragtning af at Microsoft deaktiverede Autoexec makro funktionen tilbage i slutningen af 90’erne, ville det være rimeligt at sige, at vi har undveget makro virus skuddet. Men alligevel Ikke helt; som historien går, ville Microsofts forsøg på at sætte kibosh på makroer ikke forblive uden en retort. Moderne makrovirus er mere end i stand til at arbejde sig rundt om disse begrænsninger.
Nogle har evnen til at genindføre Autoexec funktionen, mens andre ville lokke brugerne til at tænde denne mulighed selv. Et andet aspekt, jeg gerne vil sende din overvejelse er, at makrovirus ikke bare kommer gennem makroer indlejret i Excel eller Word-dokumenter.
De kan også skjule sig i vedhæftede filer i e-mail. Som du kan forestille dig, er sidstnævnte mere udbredt i forhold til word-indlejret ondsindet makro. Hvorfor det? En mulig forklaring er at slå to smut med ét sten. Hvis du sender en falsk e-mail til flere kontakter ad gangen, øges sandsynligheden for succes.
Den anden årsag er relateret til den eksisterende e-mail-sikkerhedsinfrastruktur. Mange virksomheder bruger grundlæggende e-mail sikkerhedsværktøjer som spamfiltre, men meget få drager fordel af indholds scanning eller andre deep-mail inspektion teknologier. Jeg vil dække dette i det sidste afsnit af artiklen, som er dedikeret til forebyggelse og oprydning.
Et interessant aspekt af mikrovirus er dens evne til at inficere alle tidligere, nuværende og fremtidige filer opfostret af det program. For eksempel, hvis du støder på et ikke-så-mistænkeligt word dokument, vil virus ikke kun kompromittere selve dokumentet, men alle filer af samme udvidelse – fortid, nutid og fremtid.
Profilering af makrovirus
En smule baggrundsviden på makrovirus. WordMacro/DMV er den første makrovirus. Heldigvis havde det ikke en chance for at gøre nogen skade, fordi det aldrig forlod laboratoriet det blev skabt i. DMV var en sky udflugt i avancerede computervirus. Joel McNamara, comp videnskabsmand bag DMV ønskede blot at undersøge, hvordan en makro-støttet virus kan interagere (og forstyrre) OS operationer.
DMV og lomme humor
Virussen selv viser blot en besked på skærmen, hvilket gør brugeren opmærksom på sin tilstedeværelse. McNamara’s virus, hvis primære formål var at uddanne computerbrugere om farerne ved den digitale verden, var ved at blive en kilde til inspiration for folk, der så ondsindet potentiale i denne ellers godartede creeper.
Året var 1994. Præcis et år senere, skulle den første makro virus frigives. Dens navn var Concept, og meget lig McNamara’s DMV, var dens formål at bevise et punkt. Consept brændte ikke harddiske, krypterede eller slettede ikke filer.
Faktisk gjorde det intet af betydning. Ifølge forskerne der studerede konceptet, ville der, når Word-filen blev åbnet, komme en dialog boks på brugerens skærm. Denne mystiske boks indeholdt nummeret “1” og en stor “OK” knap. Konceptet indeholdt 5 infektiøse makromoduler, den sidste er “Nyttelast”.
Mens man kan være tilbøjelig til at tro, at sidstnævnte modul er lastet med destruktiv kode. Indeholder den i virkeligheden en enkelt tekstlinje, der lyder: “REM Det er nok til at bevise min pointe.” Kryptisk, hektisk, og aldeles ubrugelig i det lange løb. Med hensyn til den nummererede dialogboks, havde forskerne en teori om at det kunne være en nedtælling af generationer af makrovirus. Konceptet har haft et par afkom af note – Concept. BZ aka Haifa, Concept.G, og Concept. F.
Melissa og Bart genierne
Efter at have bevist deres værd, er mikro virus nød til at bevise deres dygtighed. Og århundredeskiftet gav trusselsaktørerne rig mulighed for at vise, hvor ødelæggende en makrovirus kan blive. Siden 1999, kløer en ny type makro virus sin vej ud af anonymitet. Melissa er dens navn.
At sammenligne Melissa med sine forgængere ville være som at stable en flamme mod en løbeild. Og fakta bakker op om denne udtalelse. Ifølge Virus Wikidot, er de forværrede omkostninger ved Melissa beløbet sig op til 1.1 millioner dollars. Hvis det ikke var nok, så hør dette – Melissa var i stand til at springe fra vært til vært via e-mail.
Concept inficerede kun maskiner via kompromitterede cd’er eller disketter, Melissa ville bruge din liste over kontakter til at inficere endnu flere maskiner. Så hvad sker der, hvis din computer bliver inficeret af Melissa makro virus? Som en side bemærkning, har Melissa’s første møde med sit mål en hel del tilfælles med anden generations malware – og den anden vej rundt.
Mere specifikt, M. bruges til at drage fordel af folks tilfældigt åbne e-mails, før det var cool – en sandblodig hipster blandt virus. Hvordan kompromitterede Melissa maskinerne? Nå, det hele startede med en diskret e-mail. Dengang, var det at sende en e-mail eller gøre en verdslig opgave som at slå et emne op på Wikipedia lidt af et privilegium.
Selvfølgelig kan jeg ikke sige, om det var sandt for resten af verden eller blot en østeuropæisk ting. Anyway, at være barn af 90’erne betød at omfavne nyheder, uanset hvor gauche eller ekstravagante eller meningsløse, det ‘nye’ kan have været. Så det er 1999, du er hjemme og tjekke din e-mail indbakke. Og der er det!
En ny e-mail fra din bedste ven, crush, mor, far, eller en ven, som du ikke har talt med i et stykke tid. Melissa’s emnelinjer fulgte samme mønster: “åben mig”, “tjek denne e-mail”, “se på, hvad jeg har fundet”.
Det samme gjorde beskedens krop: “Her er det dokument, du bad om… vis det ikke til nogen (akavet 90’erne humørikon”). Mailen indeholdt også en lille .doc vedhæftet fil med titlen <list.doc>. Da mailen kom fra en pålidelig kilde, kunne du ikke se nogen grund til, at du ikke skulle åbne den vedhæftede fil. Den <liste.doc> indeholdt en gennemgang af de mest “populære” porno hjemmesider.
Billede Credit: danooct1
Guldgrube eller fælde? Jeg vil sige den sidste. Mens du havde travlt med at kuratere listen, ville melissa foretage nogle ændringer i dit systems registreringsdatabase. Mere specifikt, ved åbning af doc, ville denne makro virus have kontrolleret din MS Office registreringsdatabasenøglen for en bestemt undermappe kaldet <Melissa? Eksisterer med… af Kwyjibo”. Hvis værdien ikke blev angivet, ville Melissa være nødt til at indtaste den sammen med undermappen.
Denne MS Office-registreringsdatabasenøgle “instruerede” din standardmailagent om at sende den inficerede mail til 50 af dine kontakter. Samtidig ville kæreste Melissa have inficeret Normal.dot skabelon, som MS Word bruger i alle nyoprettede dokumenter.
Dette tjener to formål: at kompromittere alle fremtidige dokumenter og lække følsomme oplysninger via de websteder, der er inkluderet på listen. Som en ekstra goodie, ville nogle Melissa varianter (f.eks Melissa alternativ nyttelast, der inficerede filer baseret på tidspunktet på dagen) håne offeret med citater fra popkulturen.
Her er et eksempel på beskeder man kunne finde i Melissa-inficerede dokumenter: “22 point, plus triple-word-score, plus 50 point for at bruge alle mine breve. Spillet er slut! Jeg er ude herfra.” Hvis du tænker Simpsons, har du helt ret.
Melissa havde nogle bemærkelsesværdige efterfølgere. For at nævne nogle få, har vi Melissa. BG eller Resume (dvs. dukker op i e-mailen i form af et inficeret job resume), Assilem (dvs. i stand til at inficere maskiner der kører rene, ‘unupdated’ MS Windows-versioner), og Melissa.W eller Prilissa (dvs. dækker dokumenter med farvede firkanter).
Ekkoer
Ved profilering af makrovirus blev følgende udsagn anset for at være sande. Så makrovirus kan og vil:
- Udnytte de indbyggede tekstbehandlingsfunktioner (dvs. Macro Autoexec).
- Have forskelligt spredte vektorer (f.eks cd’er, disketter, vedhæftede fil i e-mail, osv.).
- Bruge social engineering teknikker til at øge sandsynligheden for succes.
- Exfiltrære følsomme oplysninger, hvis de kan omdirigere brugeren til ondsindede websider.
- Redigere eller beskadige registreringsdatabasefiler med henblik på tilsløring.
Selvom den menes at være uddød, har makro virus formået at gøre noget af et comeback. Husk, at MS Office’s sikkerhedsfunktioner gør det umuligt for virus at bruge denne angrebsvektor. Oven i det, har vi det altid tilstedeværende AV lag. Så to modforanstaltninger, der beskytter din maskine mod makrovirus. Udgør de stadig en trussel? Meget, men ikke på egen hånd.
Moderne makrovirus er normalt en del af MaaS (Malware-as-a-Service) ‘business’ pakker. For eksempel, Metasploit, hvis primære formål er pen-test, som kan, og bruges mange gange, til at skabe malware.
Offensive Security, et websted med speciale i cybersec-træning, beviser, at Metasploit kan injicere inficerede makroer i enten Word- eller Excel-dokumenter. Den nyttelast giver den nyligt genererede malware nogle ekstra muskler, for ikke at nævne forbedrede tilslørings kapaciteter. Du kan læse om OFFSEC’s eksperiment uden for tabellen for at få flere oplysninger om emnet.
- Next-gen Antivirus & Firewall which stops known threats;
- DNS traffic filter which stops unknown threats;
- Automatic patches for your software and apps with no interruptions;
- Privileged Access Management and Application Control, all in one unified dashboard
Krigshistorien. Makrovirus modforanstaltninger
Hvordan bekæmper man en flygtig skygge? Ved at dræbe lyset, tror jeg. Hvis det ikke virker, bør du nok forbedre dit kappe-og-dolk niveau. Det er, langt, den mest interessante og nyttige øvelse man bør hengive sig til af hensyn til cybersikkerhed. Lad os gennemgå det grundlæggende.
| AV On Ensure that your antivirus software is running and up-to-date. Remember to check the agent from to time. Some malware goes about disabling the AV before going on a rampage. Having the AVs database up to speed increases the detection likelihood. | Watch for Spam Spammy emails are not only infuriatingly frustrating but can also harbor malware. If your company’s email employs some sort of spam filtering, ensure that the filter’s operational and inform support if any spam-like emails manage to circumvent the filter. Naturally, one should never open susp email or execute in-mail attachments. |
|---|---|
| Autoexec Macro Off Although Microsoft disabled the Autoexec macro feature (by default) some macro viruses can tacitly active this function without the user’s consent or requesting confirmation. To ensure that macros are turned off (Word & Excel) head to File>Trust Center>Trust Center Setting and select Macro Settings. Check if the box next to “Disable all macros without notification” is ticked. If not, check the box, click OK, and restart Word or Excel. | Secure external media drives Don’t forget that external media drives (e.g. thumb drives, CDs, floppy disks, memory cards, etc.) can harbor malware. Best to give them a scan before opening any type of content. Your AV or anti-malware software surely has an auto-scan option which should kick in every time you insert an external media drive into your machine. Refer to your AV vendor for more information about auto-scanning features. |
En sidste ting, før du går; der er ikke noget der hedder for meget beskyttelse. Heimdal™ Securitys-prisbelønnede produkter tilbyder fuldstændig beskyttelse mod alle typer malware, herunder makrovirus. Og fordi antivirus aldrig er nok, tjek Endpoint Security Software, din personlige go-to cybersikkerheds suite. Heimdal™ Securitys intelligens sikrer, at al malware håndteres, uanset om de er nye, eller på listen over mistænkte.
Konklusion
Det er for tidligt at tale om masseudryddelsen af de berømte makrovirus. Naturligvis er de makrovirus vi ser i dag uendeligt forskellige fra dem, der plagede 90’erne. Så afstå fra at åbne spam e-mails, hold din AV up-to-date, og vend aldrig det blinde øje til noget, bare fordi det er mystisk.