Makro kötü amaçlı yazılım, gelişmiş sosyal mühendislik taktiklerinin ortaya çıkması ve makro programların popülaritesi ile geri dönüş yaptı. Özellikle Microsoft Office makroları, son derece geniş MS Office kullanıcı tabanı nedeniyle siber suçlular için çekici bir hedeftir.
Makro kötü amaçlı yazılımlar, virüsleri, solucanları ve diğer kötü amaçlı yazılım biçimlerini çoğaltmak için Microsoft Office makrolarındaki Visual Basic for Applications (VBA) programlamasından genellikle yararlanır ve kurumsal güvenlik için önemli bir risk oluşturur.
Makro kötü amaçlı yazılım nasıl çalışır?
Bir makro ("makro talimat"ın kısaltması, kelimenin tam anlamıyla Yunanca makros'tan "büyük harf komutu": "büyük"), Excel ve Word gibi uygulamalara belirli eylemleri gerçekleştirmelerini söyleyen bir komutlar zinciridir. Makrolar birkaç küçük talimatı tek bir komutta toplar ve birlikte çalıştırır. Bu, yinelenen işlemleri hızlandırarak uygulamanın işlevselliğini geliştirir.
Makrolar, diğer tüm programlar gibi program olduğundan, potansiyel olarak kötü amaçlı yazılım yazarları tarafından ele geçirilebilir. Makro virüsleri, Microsoft Word veya Excel dahil olmak üzere yazılım programlarında kullanılan aynı makro dilinde yazılır. Bir makro kötü amaçlı yazılım saldırısında, siber suçlular genellikle kötü amaçlı kod oluşturur ve bunu kimlik avı e-postalarında ek olarak dağıtılan belgelerin makrolarına yerleştirir. Kurban eki açtığında, içerdiği makrolar çalışabilir ve kötü amaçlı yazılım Microsoft Office ile açılan tüm dosyalara bulaşmaya başlar. Bu hızla yayılma yeteneği, makro kötü amaçlı yazılımların ana risklerinden biridir.
Makro kötü amaçlı yazılım koruması en iyi uygulamaları
Makro virüsleri, metin belgelerinin içeriğini değiştirmek veya dosyaları silmek gibi kötü amaçlı işlevleri çalıştırabilir. Emotet kötü amaçlı yazılımı, ağa erişmek için genellikle makroları kullanır. Bir sonraki adımda bankacılık Truva Atları, şifre hırsızları veya fidye yazılımları gibi ek modüller yükler. Bazı makro virüsleri ayrıca kurbanın e-posta hesaplarına da erişir ve virüslü dosyaların kopyalarını tüm kişilere gönderir; onlar da güvenilir bir kaynaktan geldikleri için bu dosyaları sıklıkla açar.
Bir Microsoft Office dosyasındaki makrolar çalıştırılmazsa, kötü amaçlı yazılım cihaza bulaşamaz. Makro kötü amaçlı yazılım bulaşmalarından kaçınmanın en büyük zorluğu, kimlik avı e-postalarını doğru bir şekilde tanımlamaktır. Aşağıdaki noktalara dikkat edilmelidir:
- Bilinmeyen göndericilerden gelen e-postalar
- Faturaları veya sözde gizli bilgileri içeren e-postalar
- Makrolar etkinleştirilmeden önce önizleme sağlayan belgeler
- Makro süreçleri şüpheli görünen belgeler
Makro kötü amaçlı yazılım tehdidini ortadan kaldırmanın en iyi yolu, kötü amaçlı yazılım ile bir cihaz arasındaki etkileşimi azaltmaktır. Kuruluşlar, makro kötü amaçlı yazılım saldırılarına karşı savunmalarını güçlendirmek için aşağıdaki tekniklerin bir kombinasyonunu kullanmalıdır.
Makro kötü amaçlı yazılım tehdidini ortadan kaldırın
1. Spam/önemsiz filtre ve kimlik avı koruması kullanımı
Gelen kutusuna ne kadar az kimlik avı e-postası ulaşırsa, makro kötü amaçlı yazılım saldırısı şansı o kadar az olur. Klasik spam filtresine ek olarak, makine öğrenimine dayalı gelişmiş hedef odaklı kimlik avı saldırılarını da algılayabilen özel kimlik avı koruma teknolojileri vardır. Bu çözümler, bir şirket içindeki normal iletişim davranışını öğrenir ve anormallikler durumunda alarm verir.
2. Güçlü bir antivirüs programı kullanmak
Antivirüs yazılımı, bir kullanıcı kötü amaçlı bir bağlantıyı açmaya veya şüpheli bir dosya indirmeye çalıştığında bir uyarı gönderebilir.
3. Bilinmeyen göndericilerden gelen ekler
Kullanıcılar bir e-postanın göndericisini bilmiyorsa, e-posta kişisel bilgiler içerse veya e-postanın ödenmemiş bir fatura olduğunu iddia etse bile ekleri açmamalıdır.
4. Bilinen göndericilerden gelen şüpheli e-postalardaki ekler
Güvenlik araştırmacıları, kötü amaçlı dosyanın kodunu tersine çevirerek örnek tarafından depolanan şifrelenmiş verilerin kodunu çözebilir, dosyanın etki alanının mantığını belirleyebilir ve dosyanın davranışsal analiz sırasında açığa çıkmayan diğer yeteneklerini ortaya çıkarabilir. Kodun manuel olarak tersine çevrilmesi, hata ayıklayıcılar ve ayrıştırıcılar gibi kötü amaçlı yazılım analiz araçları gerektirir.
5. Bir makro denetimini işleyen yürütmeden önce kontrol edin
Makro komutu kötü amaçlı eylemler gerçekleştiriyor gibi görünüyorsa, makrolar etkinleştirilmemelidir. Pek çok kullanıcı makro kötü amaçlı yazılım terimine aşina olduğu ancak onu nasıl tanımlayacağını bilemeyebileceği için şirketler, çalışanlarını özellikle sosyal mühendislik alanında olası tehditleri nasıl tanıyacakları konusunda düzenli eğitimlerle eğitmelidir. Makro virüslerinin tehlikelerine ilişkin artan kullanıcı farkındalığı, kurumsal güvenliği önemli ölçüde güçlendirmeye ve başarılı makro kötü amaçlı yazılım saldırılarını en aza indirmeye yardımcı olur.
[yıldız kutusu kimliği=6]