СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Астрал.Безопасность
15 апреля
#Статьи #ИБ

Защита от атак через макросы и скрипты в офисных документах: групповые политики, песочница и обучение сотрудников

Защита от атак через макросы и скрипты в офисных документах: групповые политики, песочница и обучение сотрудников

Древнее зло пробудилось

Если немного отмотать назад и представить: за окном конец 90-х, корпоративные сети растут, интернет уже не диковинка, а почта становится основным каналом общения. Пользователь открывает письмо с «очень заманчивым» содержимым и дальше всё по классике: макрос, рассылка по адресной книге, перегруженные сервера. История с макровирусами вроде Melissa давно стала учебником.

Но вот в чём ключевой момент: с тех пор изменилась инфраструктура, инструменты защиты, масштаб атак, но вот сама логика осталась почти нетронутой. Однако есть хорошие новости! Возможности и девайсы на кухне нашей ИБ заметно подросли с тех времен и теперь есть способы противостоять этой пакости. Но давайте сперва посмотрим немного с высоты на классические почтовые финты с макросами, что летят почти каждый день на наши почтовые сервера.

Как выглядят атаки сейчас

Сегодня, как и тогда, пользователь всё так же «жмёт на интересное», только теперь за этим стоит уже не любитель, а вполне организованные группы, а последствия — от утечки данных до полноценной остановки бизнеса. Если отбросить маркетинг и сложные термины, картина знакомая:

  • прилетает письмо с вложением (.doc, .xls, .zip) под видом «акта», «счёта» или «служебного документа»
  • внутри — макрос (часто обфусцированный)
  • при запуске — PowerShell / cmd
  • подтягивается основной payload

И вот здесь уже начинается самое неприятное от загрузчиков до шифровальщиков. По данным НКЦКИ и ФСТЭК России, такие цепочки по-прежнему входят в число базовых в реальных инцидентах.

Так, давайте вместе попытаемся заколотить эту дверь и сильно усложнить жизнь хакерам пользователям сети для их же блага, дабы они в очередной раз не провели за руку очередную интернет-бактерию в наш дом.

Первый эшелон

Ну что ж, поехали — встречаем. На входе должен стоять Secure Email Gateway и выполнять базовую, но критически важную работу:

  • проверка репутации IP и домена
  • анализ свежести домена (зарегистрирован вчера — добро пожаловать в карантин)
  • антиспам и антифишинговые фильтры
  • сигнатурный анализ вложений

Это тот самый «джентльменский набор», который отсекает значительную часть массовых атак. Но что если вас берут в прицел более квалифицированные ребята?

Второй эшелон

Допустим, письмо пришло с запароленным архивом. Или вовсе вредоносный файл собирается прямо в браузере пользователя из маленьких кусочков кода, спрятанных внутри HTML-письма. Святые пески Арракиса, пришло ваше время! Да придёт Шаи-Хулуд к этому весёлому архивчику. Да, мы отправляемся в песочницу. Sandbox сегодня — это уже must have. Она должна:

  • запускать файл в изоляции
  • отслеживать поведение
  • фиксировать попытки запуска процессов и выхода в сеть

Но есть нюанс (и довольно неприятный): современная малварь прекрасно понимает, где она находится, она может:

  • ждать действий пользователя
  • проверять характеристики системы
  • анализировать окружение

И если «запахло песком», просто не активироваться. Поэтому sandbox «из коробки» — это слабое место. Среда должна быть максимально приближена к реальной: по параметрам системы, поведению и даже «шуму» пользователя. Если здесь всё сделано правильно, то большая часть вредоносов «светится» именно на этом этапе.

Третий эшелон

Представим, что нам попался аккуратный и терпеливый «гость», который отлежался в песочнице, не проявился и доехал до пользователя. И вот он теперь в ящик пользователя, который жадно тянет свой курсор к нему — уже звучит как начало хорошего офисного триллера, а может даже напоминает фильм «Чужой» в реалиях опенспейсов, где никто не услышит крик ДИБа в пятницу.

На этом этапе включаются:

  • антивирусная проверка «в момент клика»
  • анализ ссылок и вложений в реальном времени
  • контроль запуска процессов

И здесь важно, чтобы базы и механизмы анализа были актуальны. Но что если не поможет?

Четвёртый эшелон

Если вредонос всё-таки стартовал, в игру вступают EDR/XDR. И вот здесь начинается настоящая аналитика:

типичная цепочка:
excel → cmd.exe → bitsadmin.exe → загрузка

Это уже не «подозрение», а почти готовый инцидент. Что должно происходить:

  • фиксация аномальной цепочки процессов
  • корреляция событий
  • изоляция рабочей станции
  • обрыв связи с управляющим сервером

И чем быстрее это происходит, тем меньше последствия.

Пятый эшелон

А теперь честно: сколько инфраструктур до сих пор живут с включёнными макросами «по умолчанию»? Хотя именно здесь можно закрыть половину сценариев.Что действительно стоит сделать:

  • отключить макросы из недоверенных источников
  • разрешить только подписанные
  • централизовать управление через Microsoft Group Policy
  • ограничить запуск файлов из интернета

Это не «сложная защита». Это базовая гигиена, которую почему-то часто откладывают.

Роль пользователя

Как бы ни хотелось сделать ставку только на технологии — всё крутится вокруг пользователя. С человеком нужно работать так же плотно как с политиками, разграничением доступов и т. д. И информировать постоянно о новинках и новых «фишках», что используют кибернегодяи для своих атак.

Как показывает практика, самый лучший способ — это показывать на примерах, проводить киберучения, а не направлять сухие бюллетени информирования по почте. И если рук не хватает, то стоит привлечь тех, кто на этом уже собаку съел и знает как поднять этот процесс в компании.

Потому что если сделать ставку только на техническую составляющую обороны, то обязательно найдутся те, кто всё это обнулит и приедет верхом на троянском коне в ваш кабинет.

Заключение

Если собрать всё вместе, картина на самом деле простая. Мы не так далеко ушли от тех самых сценариев из 90-х. Всё те же письма, всё те же вложения, всё тот же человеческий фактор.

Но разница в том, что сегодня у нас есть:

  • эшелонированная защита
  • зрелые инструменты
  • рекомендации регуляторов
  • накопленный практический опыт

И задача не изобрести что-то новое, а грамотно применить уже существующее. Потому что если сделать ставку только на один слой защиты, всегда найдётся тот, кто его обойдёт. А вот когда работает вся цепочка — от почтового шлюза до обучения сотрудников, тогда «древнее зло» остаётся просто письмом во входящих. И как показывает практика, именно внимание к деталям на каждом этапе чаще всего и решает, станет ли очередное письмо инцидентом или останется просто письмом. А если у вас еще остались вопросы, «Астрал. Безопасность» всегда готовы вам с этим помочь!

Автор статьи: Мицюк Максим, Специалист по информационной безопасности.

Астрал.Безопасность
Автор: Астрал.Безопасность
ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Комментарии: