Comments 15
Только вот вывода нет никаокго из статьи. Вирусописатели безусловно почерпнут кой чего интересного из нее для себя.
А вот как эффективно противодействовать этому, при условии что в организации работают тысячи сотруников например.
Алексей, мы уже с Вами обсуждали похожий вопрос в комментариях под другой статьёй =)
Тысячи сотрудников - это целый комплекс мер, организационных и технических.
А вот специалистов ИБ (операторов SOC и других) - гораздо меньше, и я очень надеюсь, что материал здесь и в блоге будет им полезен.
Решение на скорую руку это Windows Defender Application Guard (подробнее здесь), который позволит запустить документы MS Office в изолированной среде (некая песочница на основе виртуализации Hyper-V), но настройка этого компонента может сделать больно вашей среде виртуализации, если вы используете её для работы сторонних приложений: VMWare, VBox.
Компонент доступен начиная с Windows 10 версии 2004 (20H1) сборки 19041.
Запретить групповой политикой макросы в документах.
Запретить использовать интернет с прямым входом, запретить пользоваться Windows, запретить макросы, запретить пользоваться клавиатурой, запретить пользоваться компьютером.
Давайте всё запретим, так ведь проще.
Если отбросить сарказм, когда вам в последний раз требовались VBA макросы при офисной работе?
Сегодня. Честно). Если вы ими не пользуетесь - это не значит, что другие ими не пользуются. Есть такие места, где все настолько сильно запрещено, все разработки только через 100500 бюрократических процедур, что любая автоматизация проще (!) Делается через макросы...
Знаю такие места, увы...
Просто в ситуации с вирусами на VBA решений по сути всего 2.
1. Отключить возможность использования VBA.
2. Надеяться, что разработчики разных защитных решений чуть впереди людей, зарабатывающих этим деньги, и для которых обход защитных решений одна из основных целей для стабильного получения дохода.
Ну есть еще третий пункт, перейти на что-то, для чего пока нет такого количества атак. Раньше это был Linux и MacOS, но теперь ситуация с ними заметно изменилась, поскольку спрос рождает предложение.
Всё остальное, это попытка обогнать опытных злоумышленников в гонке "Снаряд-броня".
Ну есть ещё несколько способов. Первое - запретить прямой доступ в интернет. Далее - использовать прокси сервер. URLDownloadToFile, насколько я знаю, в него не умеет. Ну или если у безопасников совсем паранойя , то для выхода в интернет использовать совсем отдельные машинки с browser-only.
Запретить прямой доступ в интернет это отличный вариант. Главное помнить про наличие хорошо работающих техник DNS/ICMP туннелирования. Видел варианты, когда доступа в интернет как бы нет, но он есть...
Прокси может и не спасти, поскольку есть варианты минимальный дроппер притащить в теле документа, после чего он выгружается на диск, запускается и остальное уже докачивает оттуда, вычитывая из системных настроек настройки прокси. Да, это сильно триггерит антивирусы/EDR. Но всё это при желании обходится.
всегда удивляла политика Майкрософт по отношению к встроенному языку программирования в Эксель. Неужели нельзя сделать какую-то базовую функциональность, которая не может навредить? Блокировать внешние АПИ. Такое впечатление, что десятки лет продают дырявое решето с позиции «ну а дальше вы сами». Вместо того чтобы пересмотреть архитектуру как таковую.
Но тогда и функциональность языка сильно пострадает. Я часто пользовался в VBA и подгрузкой данных с внешних ресурсов, и работой с файлами, и запуском внешних программ, и даже системными вызовами - типа нажать на что-то "мышкой" (вместо AutoIt). Да, так-то это лучше делать в чем-то более профессиональном - но зачастую в корпоративной среде этого чего-то просто нет, а VBA доступен практически везде.
"Молотком можно гвозди забивать, а можно и черепушки проламывать".
Как ms office стал стандартом для документов, так и vba широко распространилась. Я видел книги по обучению работе с микроконтроллерами, с написанием кода в vba. Да и в бизнесе за много лет компании разработали множество решений, от которых так просто не уйти. Автоматизация с vba гораздо проще чем с использованием специальных библиотек в других языках программирования, например closedxml в c#.
Можно было бы разделить функциональность на безопасную (синусы, косинусы, прочая математика, и наверное все, что оперирует только самой таблицей), и небезопасную (доступ к файловой системе, сети, запуск сторонних утилит), разрешить по умолчанию первую, а вторую предлагать разрешать пользователю каждый раз, или на каждую таблицу отдельно. Ну как в Андроиде, что ли.
Привет Emotet! Исследуем вредоносный документ Excel