Microsoft ha rilasciato Excel 4.0 per Windows 3.0 e 3.1 nel 1992 e molte aziende utilizzano ancora questa funzionalità nelle operazioni legacy. Il problema è che i malintenzionati hanno iniziato a utilizzare fogli Excel e macro come un nuovo modo per distribuire malware.
Tal Leibovich, capo della ricerca sulle minacce presso Deep Instinct, ha spiegato in una presentazione durante DEFCON 29 perché questo linguaggio di scripting legacy è stato il veicolo per un recente aumento della consegna di malware. La scorsa settimana Leibovich ha presentato “Identificazione dei ceppi macro Excel 4.0 utilizzando il rilevamento delle anomalie” con Elad Ciuraru. Deep Instinct è una società di sicurezza informatica specializzata nella protezione degli endpoint e che utilizza il deep learning per fermare gli attacchi informatici.
Le organizzazioni di sicurezza hanno notato per la prima volta un picco nel marzo 2020 di questo tipo di attacco. Microsoft ha rilasciato una nuova difesa di runtime contro il malware macro di Excel 4.0 a marzo. Leibovich ha affermato di aver visto un aumento sostanziale negli ultimi due anni di hacker che utilizzano le macro di Excel 4.0 negli attacchi.
“Ci si aspetterebbe che gli attacchi che utilizzano questo vecchio linguaggio di script siano molto limitati, ma stiamo assistendo a nuove tecniche di offuscamento”, ha affermato.
La presentazione di Leibovich faceva parte dell’AI Village al DEFCON 29 . Molti di queste sessioni sono sul gruppo canale YouTube e il canale Twitch .
Gli hacker utilizzano tattiche creative per costruire nuovi vettori di attacco. Leibovich ha affermato che gli hacker utilizzano anche altri comandi di Excel e chiamate API a Windows negli attacchi.
“Puoi usare un breve comando in un punto e in un altro qui nel foglio Excel e saltando tra le diverse celle puoi creare un attacco”, ha detto. “Questo è il modo in cui molti aggressori creano malware che non vengono rilevati”.
Il problema è che questa capacità legittima in Excel non è sempre dannosa.
“Molte organizzazioni hanno file legacy che utilizzano macro”, ha affermato.
Ha affermato che la sfida è creare un buon motore di rilevamento in grado di individuare le minacce reali senza generare falsi positivi e rumore.
“La capacità di apertura automatica di Excel è fondamentale e tutti la usano, quindi è necessario rilevare la funzionalità specifica della macro per evitare di creare falsi allarmi”, ha affermato. “Lo strumento principale che utilizziamo per farlo è il deep learning”.
Come proteggersi dal malware basato su macro
È facile capire perché questa minaccia sia stata così persistente nel corso degli anni. I worm ei virus delle macro utilizzano principalmente la programmazione di Visual Basic for Applications in Microsoft Macros e Microsoft Office è la suite di produttività prevalente. La matematica di base è che Microsoft è dominante in questo spazio e che utilizza Visual Basic for Applications è altamente e facilmente mirato e molte organizzazioni non affrontano ancora correttamente il problema macro, secondo Aaron Card, direttore della scientifica digitale e risposta agli incidenti presso NTT Ltd.
L’opzione nucleare per la protezione da questo tipo di malware consiste nel bloccare tutti i file in entrata con macro e macro incorporati da e-mail o percorsi di trasferimento file, ha affermato Card.
“Qualsiasi organizzazione O365 può anche impostare un criterio di gruppo per ‘disabilitare tutte le macro’, con o senza notifica all’utente nel caso in cui un file in qualche modo sia sfuggito alle difese o a qualcuno sia stato consentito di eseguire un file da un’unità o un supporto esterno,” Egli ha detto.
Inoltre, la maggior parte dei software antivirus per endpoint può essere configurata per bloccare le macro.
“Se sei un’organizzazione che deve assolutamente utilizzare la funzionalità macro per funzionare, ti suggerisco di eseguire tutte le funzionalità e gli utenti in ambienti desktop virtuali per limitare notevolmente qualsiasi diffusione o danno da malware macro che persiste”, ha affermato.