Macro Office

Microsoft Mengambil Makronya dan Pulang, Penjahat beralih ke File Windows LNK

January 26, 2023 by Flamango

Langkah Microsoft tahun lalu untuk memblokir makro secara default di aplikasi Office memaksa penjahat untuk menemukan alat lain yang dapat digunakan untuk meluncurkan serangan siber, termasuk file LNK vendor perangkat lunak yang digunakan Windows untuk menunjuk ke file lain.

Menurut Guilherme Venere, peneliti ancaman di Talos, dalam sebuah laporan dijelaskan bahwa file LNK umumnya digunakan oleh malware jenis worm seperti Raspberry Robin untuk menyebar ke disk yang dapat dilepas atau berbagi jaringan.

File-file tersebut membantu penjahat mendapatkan akses awal ke sistem korban sebelum menjalankan ancaman.

Pergeseran ke teknik dan alat lain setelah gerakan makro VBA Microsoft berlangsung cepat. Penjahat siber sedang mencari alternatif, termasuk lampiran ISO dan RAR, ditambah file LNK.

Pada bulan Desember, peneliti Talos mengatakan bahwa beberapa grup APT dan keluarga malware berpindah ke file XLL di Excel.

Mike Parkin, insinyur teknis senior di Vulcan Cyber menambahkan bahwa Makro Office telah menjadi vektor favorit, tidak heran jika aktor ancaman berevolusi cepat sebagai respons terhadap perubahan pertahanan target mereka atau perubahan permukaan serangan.

Format LNK menyimpan banyak informasi tentang objek target, perilaku aplikasi, dan metadata sistem tempat file LNK dibuat yang berisi data lain tentang atribut file target.

Ada juga alat yang tersedia untuk umum untuk mem-parsing dan menganalisis struktur LNK seperti Parser LNK gratis dari Google yang juga dapat digunakan oleh penjahat.

Penyerang sedang mengembangkan file LNK jahat mereka sendiri melalui alat pembangun yang tersedia untuk umum seperti MLNK Builder, Quantum Builder, dan RustLNKBuilder, yang membantu mereka menghindari deteksi.

Selengkapnya: The Register

Dari Makro ke Tanpa Makro: Perbaikan Malware Berkelanjutan oleh QakBot

December 3, 2022 by Søren

Pada tahun 2007 kami melihat permulaan awal dan kebangkitan QakBot, tahun yang sama ketika Windows XP dan Windows Server 2003 masih menjadi sistem operasi utama di perusahaan. QakBot, atau QuackBot, hadir sebagai trojan perbankan dan loader.

Saat ini, kita melihat QakBot digunakan oleh berbagai kelompok musuh dengan berbagai cara, seperti menyebarkan ransomware, kegigihan, dan mencuri kredensial. Sebelum musuh memiliki akses ke titik akhir atau kemampuan untuk bergerak secara lateral, mereka harus mendapatkan akses awal. Vektor akses awal tersebut terus berkembang dan mengimbangi sistem operasi, browser, dan vendor antivirus untuk memastikan pengiriman muatan berbahaya.

Pada Februari 2022 Microsoft mendorong pembaruan untuk menonaktifkan makro secara default di produk Office. Kemenangan besar dalam industri ini adalah untuk mencegah vektor akses awal dalam jumlah besar ke dalam organisasi.

Tidak lama kemudian musuh mulai memperbarui keahlian mereka untuk menggunakan segalanya kecuali makro. Mirip dengan apa yang disebutkan oleh Bleeping Computer pada bulan Februari, DarkReading menyebutkan dalam artikel ini, perubahan tersebut masuk ke Aplikasi HTML (.hta) dan sangat sukses.

Seiring waktu, kami mulai mendengar tentang bypass Mark-of-the-Web (MOTW). Windows MOTW adalah fitur sederhana di OS yang memberi label item dan memeriksanya saat diunduh. Sebagaimana diuraikan oleh Outflank pada tahun 2020, peran MOTW dalam langkah-langkah keamanan digunakan oleh Windows SmartScreen, dan Kotak pasir tampilan terlindungi di Excel dan Word, untuk beberapa nama.

Bagaimana musuh melewati kontrol ini? Beberapa file yang diunduh tidak diperiksa, oleh karena itu menghindari MOTW dan mengizinkan eksekusi proses. Salah satu format populer yang kita lihat saat ini mencakup pengiriman file ISO dalam file HTML. Sebagian besar kontainer, seperti ISO atau VHDX, tidak diperiksa oleh MOTW.

Selengkapnya: Splunk

Microsoft Membatalkan Keputusan untuk Memblokir Makro Office secara default

July 9, 2022 by Eevee

Sementara Microsoft mengumumkan awal tahun ini bahwa mereka akan memblokir makro VBA pada dokumen yang diunduh secara default, Redmond mengatakan pada hari Kamis bahwa mereka akan membatalkan perubahan ini berdasarkan “umpan balik” hingga pemberitahuan lebih lanjut.

Perusahaan juga gagal menjelaskan alasan di balik keputusan ini dan belum memberi tahu pelanggan bahwa makro VBA yang disematkan dalam dokumen Office berbahaya tidak akan lagi diblokir secara otomatis di Access, Excel, PowerPoint, Visio, dan Word.

“Berdasarkan umpan balik, kami membatalkan perubahan ini dari Saluran Saat Ini,” perusahaan memberi tahu admin di pusat pesan Microsoft 365 (di bawah MC393185 atau MC322553) pada hari Kamis.

“Kami menghargai umpan balik yang kami terima sejauh ini, dan kami sedang berupaya untuk meningkatkan pengalaman ini. Kami akan memberikan pembaruan lain ketika kami siap untuk merilis lagi ke Saluran Saat Ini. Terima kasih.”

Perubahan mulai diluncurkan di Versi 2203, dimulai dengan Saluran Saat Ini (Pratinjau) pada awal April 2022, dengan ketersediaan umum akan dicapai pada Juni 2022, seperti yang dilaporkan sebelumnya oleh BleepingComputer.

Ini adalah perubahan yang disambut baik dan sangat diharapkan, mengingat bahwa makro VBA adalah metode populer untuk mendorong berbagai jenis malware (termasuk Emotet, TrickBot, Qbot, dan Dridex) melalui serangan phishing dengan lampiran dokumen Office yang berbahaya.

Dengan makro VBA yang diblokir secara default, semua orang mengharapkan serangan yang mengirimkan malware (seperti trojan pencuri informasi dan alat berbahaya yang digunakan oleh grup ransomware) untuk digagalkan secara otomatis.

Pada sistem di mana pemblokiran otomatis makro VBA diaktifkan, pelanggan akan melihat peringatan keamanan “RISIKO KEAMANAN: Microsoft telah memblokir makro agar tidak berjalan karena sumber file ini tidak tepercaya”.

Jika diklik, peringatan akan mengarahkan pengguna ke artikel yang berisi informasi tentang risiko keamanan di balik penggunaan makro Office oleh aktor ancaman dan instruksi untuk mengaktifkan makro ini jika benar-benar diperlukan.

Pengguna yang bingung meminta penjelasan, lebih transparan

Pelanggan Microsoft adalah yang pertama menyadari bahwa Microsoft membatalkan perubahan ini di Saluran Saat Ini pada hari Rabu, dengan tombol ‘Aktifkan Pengeditan’ atau ‘Aktifkan Konten’ yang lama ditampilkan di bagian atas dokumen Office yang diunduh dengan makro yang disematkan.

“Apakah hanya saya atau Microsoft telah membatalkan perubahan ini di Saluran Saat Ini?” salah satu pengguna Microsoft Office bertanya dalam komentar di posting blog Microsoft Februari yang mengumumkan bahwa makro VBA akan dinonaktifkan.

“Sepertinya ada sesuatu yang membatalkan perilaku default baru ini… mungkin Microsoft Defender menolak pemblokiran?”

“Berdasarkan umpan balik yang diterima, rollback telah dimulai. Pembaruan tentang rollback sedang berlangsung,” jawab Angela Robertson, GPM Utama untuk Identitas dan Keamanan di tim Microsoft 365 Office.

“Saya mohon maaf atas ketidaknyamanan pembatalan yang dimulai sebelum pembaruan tentang perubahan itu tersedia.”

Pelanggan lain mengeluh tentang “kurangnya komunikasi” Microsoft setelah mengumumkan perubahan ini dan meminta perusahaan untuk membagikan lebih banyak info tentang kemunduran ini “di tempat lain.”

“SMB standar Anda dan bahkan bisnis menengah akan meledak jika ini diterapkan sepenuhnya dalam bentuknya saat ini,” kata pelanggan.

“Anda tampaknya melayani perusahaan sekarang yang memiliki tim orang yang sangat besar untuk mengelola produk Anda, dan itu tidak berlaku untuk sebagian besar basis pengguna. Itu perlu disederhanakan sebelum dirilis, dan lebih dari itu, perlu dikomunikasikan secara efektif.”

“Mengembalikan perubahan yang baru-baru ini diterapkan dalam perilaku default tanpa setidaknya mengumumkan rollback akan terjadi adalah manajemen produk yang sangat buruk,” tambah yang lain.

Meskipun Microsoft belum membagikan umpan balik negatif yang menyebabkan pembatalan perubahan ini, pengguna telah melaporkan bahwa mereka tidak dapat menemukan tombol Buka Blokir untuk menghapus Mark-of-the-Web dari file yang diunduh, sehingga mustahil untuk mengaktifkan makro.

Admin lain merasa bahwa keputusan tersebut merupakan masalah bagi pengguna akhir yang akan merasa berat untuk membuka blokir file yang mereka unduh setiap hari, jika tidak beberapa kali per hari.

Perbarui 0, Juli 03:57 EST: Menanggapi pertanyaan kami tentang mengapa mereka membatalkan perubahan ini, seorang juru bicara memberi tahu kami bahwa Microsoft “tidak punya apa-apa lagi untuk dibagikan.”

Sumber: BleepingComputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Macro Office

Pengguna yang bingung meminta penjelasan, lebih transparan

Cookies Settings