Malware op basis van macro’s is terug van weggeweest

F-Secure labs geeft 6 tips om die buiten de deur te houden

Auteur: Sanne
Datum: 18/01/2016
Leestijd: 5 Minuten

Het afgelopen jaar bleken cybercriminelen steeds meer malware te verspreiden via MS Office -documenten die kwaadaardige macro’s bevatten. Daarmee halen ze een oude techniek uit de kast die populair was in de jaren ’90 en sindsdien nauwelijks meer werd gebruikt.

Voor wie het nog niet wist: macro’s zijn scripts die in bestanden worden ingebed voor het automatiseren van taken in verschillende programma’s, zoals Microsoft Word en Excel. Deze scripts kunnen echter ook worden gebruikt voor kwaadaardige doeleinden, zoals het installeren van malware.

Op een gegeven moment zijn cybercriminelen gestopt het met gebruik van op macro’s gebaseerde malware. Dit was voornamelijk te wijten aan het beveiligingsbeleid dat Microsoft in Office XP (2001) introduceerde. Deze beleidsregels vroegen de gebruiker telkens om toestemming voor het uitvoeren van macro’s in Office-bestanden die geen digitale handtekening van de maker bevatten. Dit maakte het relatief moeilijk voor cybercriminelen om aanvallen via macro’s uit te voeren. De meesten van hen verwijderden daarom macro’s uit hun wapenarsenaal. Deze ruilden ze in voor andere methoden voor het verspreiden van malware.

15 jaar na dato lijkt het er echter op dat macro-malware bezig is met een comeback.

AANVALLERS HEBBEN HET WIEL NIET OPNIEUW UITGEVONDEN

De revival van macro-malware gaat gepaard met een alom bekende aanvalstechniek: social engineering — een soort van digitale babbeltruc. En het blijkt dat gebruikers anno 2015 nog altijd bestanden openmaken waarvan we al in de jaren negentig wisten dat ze schadelijk kunnen zijn. Voor ICT-beheerders bij bedrijven zal dit allerminst als een verrassing komen.

Bestanden met kwaadaardige macro’s en de e-mailberichten die worden gebruikt om ze te verspreiden, zijn speciaal opgezet om weerklank bij de ontvanger te vinden. Vaak worden ze gepresenteerd als zakelijke fenomenen zoals verkoopfacturen, mededelingen van de belastingdienst en CV’s. Dit is een even eenvoudige als doeltreffende techniek om de ontvanger aan te zetten om de bijlage te openen zonder er verder bij stil te staan.

Het slachtoffer wordt voorgespiegeld dat deze de macro eerst moet inschakelen alvorens hij of zij toegang tot de informatie kan krijgen. De meeste van dit soort documenten gaan zelfs vergezeld van stapsgewijze instructies die het slachtoffer vertellen hoe deze de onbekende macro’s moet activeren. De juiste combinatie van instructies, relevante content en bestandsnamen is vaak voldoende om het slachtoffer ertoe aan te zetten om de macro in te schakelen, waarop de malware kan worden uitgevoerd.

Als we naar de technische kant van het verhaal kijken, zien we dat moderne macro-aanvallen een beroep doen op nieuwe tools voor het omzeilen van oplossingen voor e-mailbeveiliging en spampreventie. Moderne aanvallen met op macro’s gebaseerde malware kunnen bijvoorbeeld gebruikmaken van gezipte bestandsbijlagen en cloud-diensten voor bestandsopslag zoals Dropbox. Voor de meer technische onderlegde lezers is het de moeite waard om op te merken dat er bij een aantal recente aanvallen werd geprobeerd om macro’s uit te voeren met behulp van scripttaal en Powershell, de taakgebaseerde opdrachtregel van Microsoft.

microsoft-office-malware

De macro zelf omvat meestal niets meer dan een downloadprogramma dat als doorgeefluik functioneert voor de installatie van een achterdeurtje in je systemen.

6 TIPS OM JE TE BESCHERMEN TEGEN AANVALLEN MET MACRO-MALWARE

1) Beveilig je e-mail

Bescherming bieden tegen op macro’s gebaseerde aanvallen begint in de eerste plaats met een krachtige oplossing voor e-mailbeveiliging. De meeste bijlagen, bestanden en links worden immers via e-mail verspreid. Alle standaard best practices zijn hierop van toepassing, maar besteed extra aandacht aan mogelijkheden zoals het loskoppelen en scannen van bestanden en het controleren van de reputatie van links.

2) Deactiveer macro’s waar mogelijk

Uiteindelijk is er slechts zelden sprake van een situatie waarin je simpelweg alle macro’s kunt blokkeren. Wat je echter wel kunt doen, is groepsbeleidsregels instellen om het gebruik van macro’s te beperken tot de mensen die deze daadwerkelijk nodig hebben. De meerderheid van het personeel zal namelijk geen enkele reden hebben om Word-macro’s uit te voeren.

3) Bescherm je endpoints met moderne beveiligingstechnologie

Als je niet simpelweg alle macro’s kunt blokkeren (en als je dat wel kan, doe het dan voor extra bescherming), heb je een beveiligingsoplossing nodig die voorziet in heuristische technologie, gedragsanalyse en reputatieanalyse. Dit houdt in dat elk kwaadaardig bestand dat ergens ter wereld wordt aangetroffen, automatisch wordt geblokkeerd. Daarnaast is het mogelijk om lastige zero day-malware (die gebruikmaakt van nog niet gepubliceerde kwetsbaarheden) te laten blokkeren op basis van een analyse van de uitvoering en het gedrag van potentieel kwaadaardige bestanden.

4) Werk je Office-software bij met de laatste updates

De meeste macro-malware wordt aangetroffen in bestanden met de extensie “.doc” die tot Microsoft Office 2007 en oudere versies behoren. Het is daarom een goed idee om gebruik te maken van de meest recente versie van MS Office. De latere versies bieden namelijk ingebouwde verdedigingsmechanismen tegen dit soort aanvallen. Ze bieden daarnaast bescherming tegen pogingen om bestanden met de extensies “.docm” en “.xslm” te verbergen.

5) Licht je personeel voor (I): open geen verdachte e-mailberichten en bestanden!

Ook in dit geval gelden de best practices op het gebied van e-mailbeveiliging. Raad eindgebruikers aan om verdachte e-mailberichten te verwijderen en nooit bijlagen te openen die van een onbetrouwbare bron afkomstig zijn, vooral niet als zij geen idee hebben waarom ze die ontvangen.

6) Licht je personeel voor (II): voer geen macro’s op je computer uit!

In tegenstelling tot traditionele exploit kits vragen op macro’s gebaseerde bedreigingen de gebruiker toestemming om te worden uitgevoerd. Als je het personeel dus instrueert om geen macro’s uit te voeren, kan dit het verschil maken tussen een infectie en zonder kleerscheuren wegkomen.

Overigens is het misschien een goed idee om na het lezen van dit artikel alle werknemers een e-mail te sturen om hen hieraan te herinneren…

7) EEN BONUSTIP VAN ONZE BEVEILIGINGSADVISEUR

sean sullivan
Sean Sullivan – Cybersecurity Advisor

Naast de eerder genoemde beveiligingsmaatregelen raadt onze beveiligingsadviseur Sean Sullivan bedrijven aan om te investeren in training in het gebruik van e-mail. Mensen zullen namelijk minder snel geneigd zijn om in valkuilen te trappen als ze op juiste wijze met hun e-mail omgaan.

Bedrijven die investeren in bewustwording rond de beveiliging profiteren niet alleen van verbeterde bescherming, maar ook van andere zakelijke voordelen zoals een hogere productiviteit.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s