Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari:maliciozni_ms_word_dokumenti [2023/01/13 04:21]
hr51659 [Načini zaštite]
+++ racfor_wiki:seminari:maliciozni_ms_word_dokumenti [2023/06/19 18:17] (trenutno)
@@ Redak 4: / Redak 4: @@
 ===== Sažetak =====
-Današnji poslovni svijet se uvelike oslanja na mogućnosti "digitalnog ureda" i digitalnih dokumenata. S obzirom na svoju raširenost i sveopću pristutnost u industriji, edukaciji, zdravstvu i drugim granama ljudskog djelovanja, digitalni dokumenti, a među njima najrašireniji word dokumenti, postali su primamljiva meta za aktere loših namjera. Pojava malicioznih word dokumenata može se promatrati od najranijih početaka korištenja osobnih računala, od tada pa sve do danas traje borba između napadača i sigurnosnih stručnjaka.
+Današnji poslovni svijet se uvelike oslanja na mogućnosti "digitalnog ureda" i digitalnih dokumenata. S obzirom na svoju raširenost i sveopću pristutnost u industriji, edukaciji, zdravstvu i drugim granama ljudskog djelovanja, digitalni dokumenti, a među njima najrašireniji word dokumenti, postali su zlonamjernim akterima primamljivo sredstvo širenja zloćudnog koda. Pojava malicioznih word dokumenata može se promatrati od najranijih početaka korištenja osobnih računala, od tada pa sve do danas traje borba između napadača i sigurnosnih stručnjaka.
@@ Redak 12: / Redak 12: @@
 ===== Uvod =====
-Pojava malicioznih word dokumenata seže sve do početka korištenja osobnih računala, najranija pojava malicioznog word dokumenta veže se uz "Concept" makro virus (http://virus.wikidot.com/concept) koji je Microsoft slučajno podijelio uz CD Microsoft Compatibility Test koji su dijelili kompanijama kao dio promidžbenog programa, iako "Concept" nije stvarao štetu žrtvama pokazao je kako se lako maliciozni dokumenti mogu podijeliti ukoliko su korisnici i dobavljači nepažljivi. Maliciozni word dokumenti ostali maliciozni dokumenti se još nazivaju i "makro virusi" zato što je sam kod malware-a pisan u istom (makro) jeziku kao i software kojim se pregledavaju ti dokumenti, napadaju programsku podršku, a ne operacijske sustave, ali unatoč tome mogu nanjeti veliku štetu korisnicima.
+Pojava malicioznih word dokumenata seže sve do početka korištenja osobnih računala, najranija pojava malicioznog word dokumenta veže se uz "Concept" makro virus [1] koji je Microsoft slučajno podijelio uz CD Microsoft Compatibility Test koji su dijelili kompanijama kao dio promidžbenog programa, iako "Concept" nije stvarao štetu žrtvama pokazao je kako se lako maliciozni dokumenti mogu podijeliti ukoliko su korisnici i dobavljači nepažljivi. Maliciozni word dokumenti ostali maliciozni dokumenti se još nazivaju i "makro virusi" [2] zato što je sam kod malware-a pisan u istom (makro) jeziku kao i software kojim se pregledavaju ti dokumenti, napadaju programsku podršku, a ne operacijske sustave, ali unatoč tome mogu nanjeti veliku štetu korisnicima.
 ===== Princip rada =====
@@ Redak 35: / Redak 35: @@
 Kad su u pitanju maliciozni dokumenti edukacija i prevencija su najisplativije opcije zaštite. Između malicioznog dokumenta i štete na sustavu u konačnici uvijek stoji ljudska osoba, spam fileteri i antivirusna programska podrška mogu pomoći, ali nisu apsolutno savršeni, u konačnici će uvijek čovjek biti taj koji mora omogućiti makro naredbi da se izvrši. U sklopu edukacije zaposlenicima i potencijalnim žrtvama treba na slikovit način objasniti koje su posljedice potencijalnih napada i kompromisa sigurnosti, koje su najčešće metode napada, kako se zaštiti od najčešćih napada. U slučaju malicioznih word dokumenata to bi značilo isključiti automatsko pokretanje makro naredbi (ako već nije), ne pokretati makro naredbe dokumenata koji dolaze iz nepovjerljivih izvora (van odjela, firme, regije, države, ...), bilo bi dobro potupuno ignorirati dokumente i priloge iz nepouzdanih izvora i ne pokušavati ih otvoriti ili pokretati. Uz to, sva programska podrška koja je namjenjena zaštiti i sprječavanju incidenata treba biti redovito nadograđivana najnovijim sigurnosnim zakrpama i potpisima malicioznih dokumenata.
-{{ :racfor_wiki:maldoc:disable_makro.png?nolink |}}
 ===== Metode analize =====
-Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu.
+Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području [3]. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu.
-Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao "payload delivery method", gdje je i "payload" (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično. Takve metode dodatno otežavaju analizu malicioznih dokumenata.
+Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao "payload delivery method", gdje je i "payload" (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično [4]. Takve metode dodatno otežavaju analizu malicioznih dokumenata.
 ===== Zaključak =====
+Maliciozni word dokumenti su čest način širenja zloćudnog koda, mogu uzrokovati velike probleme žrtvama uključujući i financijsku štetu. Sami maliciozni dokumenti mogu se širiti društvenim mrežama, email prijevarama ili preko prevarantskih web stranica. Zaštita je više stupanjska; uključuje onemogućavanje automatskog izvršavanja makro naredbi na računalu korisnika te ne izvršavanje makro naredbi dokumentana koji dolaze iz nepovjerljivih izvora, održavanje programske podrške i antivirusnog softwarea ažurnim te konfiguracija email filtera od strane mail server administratora. Računalni forenzičari koji istražuju ovakve dokumente moraju voditi posebnu brigu u kakvom okruženju pokreću makro naredbe te izolirati okruženje kako se maliciozni kod nebi proširio na druga računala u lokalnoj mreži. Kako se rad s dokumentima sve više obavlja u cloud okruženju koristeći web servise, opasnost od malicioznih word dokumenata će se smanjivati zbog manjeg izlaganja vlastitog sustava zloćudnom kodu.
 ===== Literatura =====
-[1] [[https://dl.acm.org/doi/pdf/10.1145/1161366.1161375| Wang W., Farid H.: Exposing Digital Forgeries in Video by Detecting Double MPEG Compression]]
-[2] [[http://clem.dii.unisi.it/~vipp/website_resources/publications/conferences/2014_ICASSP_GironiFBPB_A_Video_Forensic_Technique_For_Detecting_Frame_Deletion_And_Insertion.pdf | A. Gironi, M. Fontani, T. Bianchi, A. Piva, M. Barni: A VIDEO FORENSIC TECHNIQUE FOR DETECTING FRAME DELETION AND INSERTION ]]
+[1] Concept, http://virus.wikidot.com/concept, [13.1.2022.]
+[2] Awati, Rahul, Rosencrance, Linda, macro virus, updated September 2021., https://www.techtarget.com/searchsecurity/definition/macro-virus, [13.1.2022.]
+[3] Armasu, Lucian, Malicious Microsoft Word Files Use New Techniques To Evade Security Sandboxes, 10.6.2016.,   https://www.tomshardware.com/news/malicious-word-files-evade-sandboxes,32034.html, [13.1.2022.]
+[4] Maharjan, Nishan, A MS word malware analysis Part2: Analyzing malicious macros, 4.5.2020., https://medium.com/@nishanmaharjan17/a-ms-word-malware-analysis-part2-analyzing-malicious-macros-2a17d96d086f, [13.1.2022.]
-[3] [[https://www.forensicfocus.com/articles/forensics-bitcoin/]]

racfor_wiki/seminari/maliciozni_ms_word_dokumenti.1673580090.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)