Hepinize selamlar, ben Mehmet Kadir CIRIK.
Microsoft, Ekim 2021’de Office kullanıcıları için XL4 ve VBA makroları varsayılan olarak engellemeye başlayacağını, sırasıyla Şubat 2022’de başlatacağını duyurmuştu. Bu değişiklikler 2022 yılında etkinleştirilmeye başlandı. 2022 Temmuz ayında VBA makro engelleme uygulamasıyla ilgili bazı karmaşa yaşandı, ancak Microsoft bunun devam edeceğini duyurdu. Tehdit aktörleri, bu değişikliklere tepki olarak makro temelli tehditlerden uzaklaşmaya başladı.
Araştırmacılar bu açıklamadan sonra Ekim 2021‘den bu yana kadar olan kampanya verilerine göre, tehdit aktörleri, kötü amaçlı yazılımı iletmek için doğrudan mesajlara eklenen makro etkinleştirilmiş belgelerden uzaklaştı ve giderek daha fazla ISO ve RAR ekleri ile Windows Kısayolu (LNK) dosyaları kullandı.
Bir çok rapordan çıkardığım sonuçlara göre tehdit araştırmacıları tarafından manuel olarak analiz edilen ve içerikleri bağlamsallaştırılan kampanya tehditlerinin analizine göre, tehdit aktörlerinin makro etkinleştirilmiş eklerini kullanma oranı oldukça azaldı.
Tehdit aktörleri, kullanıcılar Office uygulamalarında makroları etkinleştirdiğinde kötü niyetli içeriği otomatik olarak çalıştırmak için VBA makrolarını kullanır. XL4 makroları Excel uygulamasına özgüdür, ancak tehdit aktörleri tarafından da kötüye kullanılabilir.
Genellikle makro etkinleştirilmiş belgeleri dağıtan tehdit aktörleri, alıcıyı içeriğin önemli olduğuna ikna etmek ve içeriği görüntülemek için makroların etkinleştirilmesinin gerektiğini belirtir.
Şekil1: Yakın tarihli bir kampanyadan alınmış Makro içeren Excel eki.
Bazı tehdit araştırmacıları, tehdit aktörlerinin Microsoft’un önerdiği savunmaları atlamak için doğrudan mesaja eklenmiş veya URL yoluyla indirilmiş makro etkin belgelerden geçiş yapmaya başlayacağını varsaydılar.
Kaynaklar diğer ek türlerinde dikkate değer bir artış gözlemlese de, makro özellikli belgeler tehdit alanında kullanılmaya hala devam etmektedir.
Gelişme:
Dosya türü çeşitliliği: Kötü niyetli aktörler, makro tabanlı saldırıların etkisiz hale gelmesiyle birlikte, ISO, RAR ve ZIP gibi konteyner dosyalarını tercih etmeye başladı. Bu dosya türleri, kullanıcıların dikkatsizce açabileceği ve içerisine zararlı kodlar enjekte edilebileceği bir potansiyel sunuyor. Ayrıca, Windows Kısayolu (LNK) dosyalarını kullanarak da saldırılarını geliştirdi. Bu dosya türleri, kullanıcıların yanıltıcı bağlantıları tıklamalarını ve kötü amaçlı yazılımların bilgisayarlarına bulaşmasını sağlayabiliyor.
Sosyal mühendislik ve hedefe özel saldırılar: Tehdit aktörleri, sosyal mühendislik taktiklerini kullanarak kullanıcıları kandırmaya ve hedefe özel saldırılar düzenlemeye devam ediyor. Özelleştirilmiş e-postalar, sahte web siteleri ve yanıltıcı dosya adları gibi yöntemlerle kullanıcıların dikkatini çekiyorlar. Bu taktiklerle kullanıcılarda güven oluşturup, zararlı içeriği etkinleştirmeleri için ikna etmeye çalışıyorlar. Bu sayede, kullanıcıların verilerini çalmak, kimlik avı saldırıları gerçekleştirmek veya sistemlere izinsiz erişim sağlamak gibi hedeflerine ulaşmayı hedefliyorlar.
Zero-day saldırıları: Kötü niyetli aktörler, güvenlik açıklarının henüz keşfedilmediği veya düzeltilmediği yeni zayıf noktalara odaklanıyorlar. Sıfır-gün saldırıları olarak adlandırılan bu tür saldırılar, saldırganların hızla harekete geçmesini ve savunma önlemleri henüz güncellenmeden saldırı gerçekleştirmesini sağlıyor. Sıfır-gün saldırıları, yazılım ve işletim sistemleri üzerindeki güncellemelerin zamanında ve düzenli olarak uygulanmasının önemini bir kez daha vurguluyor.
Bypassing Mark-of-the-Web (MotW)
Saldırganlar, Mark of the Web (MOTW) kontrollerini bozmak için belirli dosya biçimlerini kötüye kullanabilir. Windows’ta, dosyalar İnternetten indirildiğinde, MOTW olarak bilinen belirli bir değere sahip Zone.Identifier adlı gizli bir NTFS Alternatif Veri Akışı (ADS) ile etiketlenirler. Etiketlenen dosyalar MOTW ile korunur ve belirli eylemleri gerçekleştiremez.
Örneğin, MS Office 10’dan başlayarak, bir MS Office dosyası MOTW’ye sahipse Korumalı Görünüm’de açılır. MOTW ile etiketlenen yürütülebilir dosyalar, dosyaları iyi bilinen yürütülebilir dosyalardan oluşan bir izin verilenler listesiyle karşılaştıran Windows Defender SmartScreen tarafından işlenecektir. Dosya bilinmiyorsa/güvenilmiyorsa, SmartScreen yürütmeyi engeller ve kullanıcıyı dosyayı çalıştırmaması konusunda uyarır.
Saldırganlar, MOTW ile etiketlenmemiş olabilecek kötü amaçlı yükler sağlamak için sıkıştırılmış/arşiv (.arj, .gzip) ve/veya disk görüntüsü (.iso, .vhd) dosya biçimleri gibi kapsayıcı dosyalarını kötüye kullanabilir. İnternetten indirilen konteyner dosyaları MOTW ile işaretlenecektir, ancak konteyner dosyaları çıkarıldıktan veya bağlandıktan sonra içindeki dosyalar MOTW’u devralmayabilir. MOTW bir NTFS özelliğidir ve birçok kapsayıcı dosyası, NTFS alternatif veri akışlarını desteklemez. Bir konteyner dosyası çıkarıldıktan ve/veya bağlandıktan sonra, içindeki dosyalar diskteki yerel dosyalar olarak değerlendirilebilir ve korumasız çalıştırılabilir.
Örnek olarak, mesela bir zip dosyası indirdiğinizi düşünelim. Zip dosyası MOTW ile işaretlenecektir, ancak zip içerisindeki dosyaları zipten çıkardığınız zaman çıkardığınız dosyalar MOTW ile işaretlenmeyebilir. Bu nedenle de saldırganlar tarafından tercih edilmektedir.
Örnek olarak saldırganlar tarafından bu teknik denenerek kurbana bir “img” dosyası indirildiği ve bunun Download klasörüne indiğini varsayarsak aşağıdaki gibi bir çıktı ile karşılaşabiliriz.
filemod_includes [.img]
&&
file_path_includes ['Users' & 'Downloads'] || [‘AppData’]
Bu teknik için bir tespit kuralı yazmamız gerekirse;
: medium
şeklinde bir tespit kuralı yazılabilir. Bunun için yazmış olduğum diğer tehdit kurallarını görüntülemek için SOC Prime platformundaki kurallarımı görüntüleyebilirsiniz.
Kampanya İstatistikleri
Tehdit aktörleri, ilk erişim sağlamak için makro özellikli belgelerden uzaklaşarak, tehdit ortamında farklı dosya türlerini daha sık kullanmaya başlamaktadır. Bu değişiklik, Microsoft’un makro engelleme korumalarını atlayabilen ISO ve diğer kapsayıcı dosya biçimlerinin yanı sıra LNK dosyalarının benimsenmesiyle ilişkilidir. Bu tür dosya formatları, yürütülebilir dosyaların dağıtımını kolaylaştırmanın yanı sıra sürekli kötü amaçlı yazılımlara, veri keşfine ve hırsızlığına, hatta fidye yazılımlarına da yol açabilir.
Önemli Kısımlar:
- Microsoft’un Microsoft Office uygulamalarında varsayılan olarak makroları engelleyeceğine dair duyurularına yanıt olarak, tehdit aktörleri yeni taktikler, teknikler ve prosedürler (TTP’ler) benimsemeye başladı.
- Tehdit aktörleri, kötü amaçlı yazılım dağıtmak için kampanyalarda ISO ve RAR gibi kapsayıcı dosyaları ve Windows Kısayolu (LNK) dosyalarını giderek daha fazla kullanıyor.
Buraya kadar okuduğunuz için teşekkürler. 🙂
Kaynaklar:
- https://www.bleepingcomputer.com/news/microsoft/microsoft-starts-blocking-office-macros-by-default-once-again/
- https://www.bleepingcomputer.com/news/microsoft/microsoft-is-disabling-excel-40-macros-by-default-to-protect-users/
- https://www.theregister.com/2022/02/08/microsoft_office_default_macro_block/
- https://attack.mitre.org/techniques/T1553/005/
- https://unprotect.it/technique/mark-of-the-web-motw-bypass/
- https://redcanary.com/threat-detection-report/techniques/mark-of-the-web-bypass/