Excel sigue siendo un dolor de cabeza para la seguridad después de 30 años debido a esta característica


El investigador de amenazas explica por qué es complicado distinguir entre las macros de Excel legítimas y las que generan malware.

Pantalla de advertencia de malware detectado

Imagen: solarseven, Getty Photos / iStockphoto

Microsoft lanzó Excel 4. para Windows 3. y 3.1 en 1992 y muchas empresas todavía usan esta funcionalidad en operaciones heredadas. El problema es que los malos actores tienen comenzó a usar hojas de Excel y macros como una nueva forma de distribuir malware.

Tal Leibovich, jefe de investigación de amenazas en Deep Intuition, explicó en una presentación durante DEFCON 29 por qué este lenguaje de secuencias de comandos heredado ha sido el vehículo para un aumento reciente en la entrega de malware. Leibovich presentó «Identificación de cepas macro de Excel 4. mediante detección de anomalías» con Elad Ciuraru la semana pasada. Deep Instinct es una empresa de ciberseguridad que se especializa en la protección de endpoints y utiliza el aprendizaje profundo para detener los ciberataques.

Las organizaciones de seguridad notaron por primera vez un aumento en marzo de 2020 de este tipo de ataque. Microsoft lanzó una nueva defensa en tiempo de ejecución contra el malware de macro Excel 4. en marzo. Leibovich dijo que ha visto un aumento sustancial en los últimos dos años de piratas informáticos que utilizan macros de Excel 4. en los ataques.

«Es de esperar que los ataques que utilizan este antiguo lenguaje de escritura sean muy limitados, pero estamos viendo nuevas técnicas de ofuscación», dijo.

La presentación de Leibovich fue parte de la AI Village en DEFCON 29. Varias de esas sesiones son en el grupo Canal de Youtube y Canal de Twitch.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Los piratas informáticos utilizan tácticas creativas para crear nuevos vectores de ataque. Leibovich dijo que los piratas informáticos también están utilizando otros comandos de Excel y llamadas API a Home windows en los ataques.

«Puedes usar un comando corto en un lugar y otro aquí en la hoja de Excel y al saltar entre diferentes celdas puedes crear un ataque», dijo. «Esa es la forma en que muchos atacantes crean malware que no se detecta».

El problema es que esta capacidad legítima en Excel no siempre es maliciosa.

«Muchas organizaciones tienen archivos heredados que usan macros», dijo.

Dijo que el desafío es crear un buen motor de detección que pueda detectar amenazas reales sin generar falsos positivos ni ruido.

«La capacidad de apertura automática de Excel es essential y todo el mundo la usa, por lo que hay que detectar la funcionalidad específica de la macro para evitar la creación de falsas alarmas», dijo. «La principal herramienta que usamos para hacer eso es el aprendizaje profundo».

Cómo protegerse contra el malware basado en macros

Es fácil entender por qué esta amenaza ha sido tan persistente a lo largo de los años. Los virus y gusanos de macro utilizan principalmente Visible Standard para la programación de aplicaciones en Macros de Microsoft y Microsoft Workplace es la suite de productividad predominante. La matemática básica es que Microsoft es dominante en este espacio, y el uso de Visual Primary para Aplicaciones es altamente y fácil de identificar y muchas organizaciones aún no siempre abordan adecuadamente el problema macro, según Aaron Card, director de análisis forense electronic y respuesta a incidentes en NTT. Limitado.

La opción nuclear para protegerse contra este tipo de malware es bloquear todos y cada uno de los archivos entrantes habilitados para macros e incrustados en macros desde el correo electrónico o las rutas de transferencia de archivos, dijo Card.

«Cualquier organización de O365 también puede establecer una política de grupo para &#39deshabilitar todas las macros&#39, con o sin notificación al usuario en caso de que un archivo de alguna manera se salga de las defensas, o alguien pueda ejecutar un archivo desde un disco o medio externo». él dijo.

Además, la mayoría de los programas antivirus para endpoints se pueden configurar para bloquear macros.

«Si usted es una organización que absolutamente debe usar la funcionalidad de macro para funcionar, sugiero ejecutar todas las funciones y usuarios en entornos de escritorio digital para limitar en gran medida la propagación o el daño del malware de macro que persista», dijo.

VER: 30 consejos de Excel que necesita saber (TechRepublic Quality)

La educación del usuario sobre ciberseguridad tiene más que ver con la óptica que con el impacto, según Card. En su experiencia, la educación del usuario solo funciona cuando se practica y se mide una y otra vez. La otra clave es establecer consecuencias reales cuando las personas rompen las reglas.

Card dijo que hay dos tácticas específicas que son efectivas para influir en el comportamiento del usuario. El primero implica agregar un lenguaje específico sobre el comportamiento responsable de la seguridad cibernética en las revisiones de desempeño.

«Por ejemplo, ¿un miembro del equipo tiene pocas o ninguna instancia de hacer clic en correos electrónicos de phishing o de usar un dispositivo inseguro para trabajar?», Dijo. «Agregar un incentivo, como una bonificación cuando sea posible, también puede ayudar a mejorar la postura de seguridad de una empresa».

La otra táctica es darle a cada líder una puntuación mensual o trimestral en función del número de errores de seguridad relacionados con el usuario que han ocurrido o no durante su vigilancia.

«Esos puntajes se comparten internamente en una especie de tabla de clasificación o cuadro de mando, y este tipo de responsabilidad impulsa a las personas a mejorar», dijo.

Ver también



Enlace a la noticia authentic