Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari:maliciozni_ms_word_dokumenti [2023/01/13 04:42] hr51659 [Literatura] |
racfor_wiki:seminari:maliciozni_ms_word_dokumenti [2023/06/19 18:17] (trenutno) |
===== Sažetak ===== | ===== Sažetak ===== |
| |
Današnji poslovni svijet se uvelike oslanja na mogućnosti "digitalnog ureda" i digitalnih dokumenata. S obzirom na svoju raširenost i sveopću pristutnost u industriji, edukaciji, zdravstvu i drugim granama ljudskog djelovanja, digitalni dokumenti, a među njima najrašireniji word dokumenti, postali su primamljiva meta za aktere loših namjera. Pojava malicioznih word dokumenata može se promatrati od najranijih početaka korištenja osobnih računala, od tada pa sve do danas traje borba između napadača i sigurnosnih stručnjaka. | Današnji poslovni svijet se uvelike oslanja na mogućnosti "digitalnog ureda" i digitalnih dokumenata. S obzirom na svoju raširenost i sveopću pristutnost u industriji, edukaciji, zdravstvu i drugim granama ljudskog djelovanja, digitalni dokumenti, a među njima najrašireniji word dokumenti, postali su zlonamjernim akterima primamljivo sredstvo širenja zloćudnog koda. Pojava malicioznih word dokumenata može se promatrati od najranijih početaka korištenja osobnih računala, od tada pa sve do danas traje borba između napadača i sigurnosnih stručnjaka. |
| |
| |
===== Uvod ===== | ===== Uvod ===== |
| |
Pojava malicioznih word dokumenata seže sve do početka korištenja osobnih računala, najranija pojava malicioznog word dokumenta veže se uz "Concept" makro virus (http://virus.wikidot.com/concept) koji je Microsoft slučajno podijelio uz CD Microsoft Compatibility Test koji su dijelili kompanijama kao dio promidžbenog programa, iako "Concept" nije stvarao štetu žrtvama pokazao je kako se lako maliciozni dokumenti mogu podijeliti ukoliko su korisnici i dobavljači nepažljivi. Maliciozni word dokumenti ostali maliciozni dokumenti se još nazivaju i "makro virusi" zato što je sam kod malware-a pisan u istom (makro) jeziku kao i software kojim se pregledavaju ti dokumenti, napadaju programsku podršku, a ne operacijske sustave, ali unatoč tome mogu nanjeti veliku štetu korisnicima. | Pojava malicioznih word dokumenata seže sve do početka korištenja osobnih računala, najranija pojava malicioznog word dokumenta veže se uz "Concept" makro virus [1] koji je Microsoft slučajno podijelio uz CD Microsoft Compatibility Test koji su dijelili kompanijama kao dio promidžbenog programa, iako "Concept" nije stvarao štetu žrtvama pokazao je kako se lako maliciozni dokumenti mogu podijeliti ukoliko su korisnici i dobavljači nepažljivi. Maliciozni word dokumenti ostali maliciozni dokumenti se još nazivaju i "makro virusi" [2] zato što je sam kod malware-a pisan u istom (makro) jeziku kao i software kojim se pregledavaju ti dokumenti, napadaju programsku podršku, a ne operacijske sustave, ali unatoč tome mogu nanjeti veliku štetu korisnicima. |
| |
===== Princip rada ===== | ===== Princip rada ===== |
| |
| |
Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu. | Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području [3]. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu. |
| |
Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao "payload delivery method", gdje je i "payload" (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično. Takve metode dodatno otežavaju analizu malicioznih dokumenata. | Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao "payload delivery method", gdje je i "payload" (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično [4]. Takve metode dodatno otežavaju analizu malicioznih dokumenata. |
===== Zaključak ===== | ===== Zaključak ===== |
| |
| |
| |
| [1] Concept, http://virus.wikidot.com/concept, [13.1.2022.] |
| |
[1] [[https://www.techtarget.com/searchsecurity/definition/macro-virus]] | [2] Awati, Rahul, Rosencrance, Linda, macro virus, updated September 2021., https://www.techtarget.com/searchsecurity/definition/macro-virus, [13.1.2022.] |
| |
[2] [[https://smartermsp.com/tech-time-warp-introducing-the-concept-of-a-macro-virus/]] | [3] Armasu, Lucian, Malicious Microsoft Word Files Use New Techniques To Evade Security Sandboxes, 10.6.2016., https://www.tomshardware.com/news/malicious-word-files-evade-sandboxes,32034.html, [13.1.2022.] |
| |
[3] [[http://virus.wikidot.com/concept]] | [4] Maharjan, Nishan, A MS word malware analysis Part2: Analyzing malicious macros, 4.5.2020., https://medium.com/@nishanmaharjan17/a-ms-word-malware-analysis-part2-analyzing-malicious-macros-2a17d96d086f, [13.1.2022.] |
| |
[4] [[https://www.tomshardware.com/news/malicious-word-files-evade-sandboxes,32034.html]] | |
| |
[5] [[https://medium.com/@nishanmaharjan17/a-ms-word-malware-analysis-part2-analyzing-malicious-macros-2a17d96d086f]] | |
| |
| |