לדלג לתוכן

מה זה Office Macro Attack

כמעט כל אחד קיבל אי פעם קובץ Word או Excel עם הודעה למעלה שאומרת "יש לאפשר תוכן כדי לצפות במסמך". ההודעה הזו נראית טכנית וחסרת עניין, אבל היא בעצם הרגע הקריטי בהתקפת מאקרו - הרגע שבו המשתמש, בלחיצת כפתור אחת, נותן לקוד זר הרשאה להריץ על המחשב שלו.

מה זה בעצם מאקרו

מאקרו הוא קטע קוד קטן, כתוב בשפת VBA (Visual Basic for Applications), שמוטמע בתוך מסמך Office ומיועד לאוטומציה - למשל, סקריפט שממלא טבלה אוטומטית או מעצב מסמך בפורמט קבוע. זה פיצ'ר לגיטימי לחלוטין, ומשמש הרבה ארגונים לצרכים אמיתיים. הבעיה היא שמאקרו הוא בעצם קוד לכל דבר, ואם הוא רץ בלי הגבלה, הוא יכול לעשות כמעט כל דבר שהמשתמש עצמו יכול - כולל הרצת פקודות מערכת, הורדת קבצים מהאינטרנט, ותקשורת עם שרת חיצוני.

איך Office Macro Attack עובד

תוקף בונה מסמך Office עם מאקרו זדוני, ומעצב אותו כך שירד מלהיראות חשוד - למשל חשבונית, קורות חיים, או מסמך שנראה כאילו הגיע מגורם מוכר. כשהמשתמש פותח את הקובץ, Office חוסם כברירת מחדל את הרצת המאקרו ומציג הודעת אזהרה. כאן נכנס החלק ההנדסי-חברתי של ההתקפה - התוכן של המסמך עצמו בנוי כדי לשכנע את המשתמש שהוא חייב ללחוץ "אפשר תוכן" כדי לראות את מה שהוא מצפה לו, למשל תמונה מטושטשת שכביכול תתבהר רק אחרי אישור המאקרו.

ברגע שהמאקרו רץ, הוא בדרך כלל לא מבצע את התקיפה בעצמו, אלא פועל כשלב ראשון - הוא מוריד ומריץ רכיב נוסף, לרוב דרך PowerShell, שמבצע את שאר העבודה: יצירת חיבור חוזר לתוקף, הורדת תוכנה זדונית נוספת, או תחילת תנועה ברשת.

למה זה עדיין כלי תקיפה נפוץ

  • סביבת עבודה יומיומית - כמעט כל ארגון עובד עם קבצי Office כחלק שגרתי מהעבודה, מה שהופך מסמך זדוני להרבה פחות חשוד מקובץ הרצה רגיל.
  • אמון קיים - עובדים רגילים לקבל מסמכים ממקורות שונים - לקוחות, ספקים, מועמדי עבודה - מה שמקל על תוקף להתחזות למקור לגיטימי.
  • עוקף בקרות מסוימות - קובץ Office עם מאקרו לא נראה כמו תוכנה זדונית קלאסית, ולכן חלק מבקרות האבטחה שמתמקדות בקבצי הרצה לא בהכרח תופסות אותו באותה קלות.

איך בודקים את זה בבדיקת חדירות

כחלק מסימולציית פישינג מאושרת מראש, בודק חדירות יכול לבנות מסמך עם מאקרו בדיקתי - כזה שרק מוכיח שהטכניקה עובדת, למשל על ידי יצירת קובץ סימון או פתיחת חיבור לשרת בדיקה מבוקר, בלי לגרום נזק אמיתי. חשוב להדגיש שוב - זה תרחיש שדורש אישור מפורש ומתועד מהלקוח, ותיאום מדויק על היקף הבדיקה.

איך מתגוננים מפני התקפות מאקרו

  • חסימת מאקרו כברירת מחדל למסמכים שמגיעים מהאינטרנט או ממייל חיצוני, דרך מדיניות ארגונית מרכזית.
  • הדרכת עובדים לזהות בקשות "אפשר תוכן" כדגל אדום, במיוחד במסמכים לא צפויים.
  • ניטור הרצות PowerShell או תהליכי ילד חשודים שמקורם ביישומי Office.
  • שימוש בפתרונות סינון תוכן שסורקים מסמכים נכנסים לפני שהם מגיעים לתיבת הדואר.

איך לומדים את זה נכון

Office Macro Attack הוא חלק מארגז כלים רחב יותר של וקטורי כניסה ראשוניים בבדיקות חדירות. מי שרוצה להבין את כל שרשרת התקיפה, מהמייל הראשוני ועד השתלטות מלאה, יכול להתחיל מקורס בדיקות החדירות שלנו.

לסיכום

מאקרו זדוני הוא תזכורת לכך שהחוליה הכי חלשה כמעט תמיד קשורה לאדם, לא רק לטכנולוגיה. תבינו את הטכניקה, תדעו לזהות אותה, ותוודאו שהארגון שלכם לא מסתמך על הנחה ש"אף אחד לא ילחץ אפשר תוכן".

רוצים לדבר על תרחישי הנדסה חברתית נוספים? בואו לקהילה שלנו.

הצטרפו לקהילה בדיסקורד