Današnji poslovni svijet se uvelike oslanja na mogućnosti “digitalnog ureda” i digitalnih dokumenata. S obzirom na svoju raširenost i sveopću pristutnost u industriji, edukaciji, zdravstvu i drugim granama ljudskog djelovanja, digitalni dokumenti, a među njima najrašireniji word dokumenti, postali su zlonamjernim akterima primamljivo sredstvo širenja zloćudnog koda. Pojava malicioznih word dokumenata može se promatrati od najranijih početaka korištenja osobnih računala, od tada pa sve do danas traje borba između napadača i sigurnosnih stručnjaka.

Ključne riječi: word; office; dokumenti; malware;

Pojava malicioznih word dokumenata seže sve do početka korištenja osobnih računala, najranija pojava malicioznog word dokumenta veže se uz “Concept” makro virus [1] koji je Microsoft slučajno podijelio uz CD Microsoft Compatibility Test koji su dijelili kompanijama kao dio promidžbenog programa, iako “Concept” nije stvarao štetu žrtvama pokazao je kako se lako maliciozni dokumenti mogu podijeliti ukoliko su korisnici i dobavljači nepažljivi. Maliciozni word dokumenti ostali maliciozni dokumenti se još nazivaju i “makro virusi” [2] zato što je sam kod malware-a pisan u istom (makro) jeziku kao i software kojim se pregledavaju ti dokumenti, napadaju programsku podršku, a ne operacijske sustave, ali unatoč tome mogu nanjeti veliku štetu korisnicima.

Maliciozni word dokumenti sadržavaju “makro” naredbe, makro naredbe su manji programi ili niz naredbi koje su namjenjene za automatiziranje određenih zadataka oko rada s dokumentima, formatiranje, unos podataka, generiranje predložaka. Iako originalno zamišljene kao pomoć u radu s dokumentima, makro naredbe su postale glavni mehanizam prijenosa zloćudnog koda pomoću digitalnih dokumenata. Od 2000. godine Windowsi po defaultu onemogućuju automatsko izvršavanje makro naredbi iz očitih razloga. Iz tog razloga, za uspješno izvršavanje zloćudnog koda žrtva mora omogućiti izvršavanje makro naredbi unutar dokumenta. Princip rada malicioznih word dokumenata je vrlo jednostavan i posljedice idejno nebi trebale biti dramatične s obzirom da bi očekivano ponašanje makro naredbi trebalo biti ograničeno na operacije nad dokumentom u kojem su sadržane, nažalost to nije slučaj te se makro naredbe i maliciozni word dokumenti koriste i kao međukorak za dostavu krajnjeg zloćudnog koda. Posljedice mogu biti razne, krađa povjerljivih informacija (pristupni podaci, financijski dokumenti), instalacija dodatnog zloćudnog koda (key loggeri, remote access, ransomware) ili izvršavanje proizvoljnih powershell skripti koje osim već nabrojanih stvari mogu dodatno kompromitirati računala korisnika.

Metode širenja zloćudnog koda su prilično univerzalne, podmetanje zaraženih usb stickova, internet prijevare, email prijevare i socijalni inženjering. Najčešći način širenja malicioznih word dokumenta je putem email phishing napada. Napadači šalju velik broj lažnih email poruka gdje se predstavljaju kao legitimni entitet (državne agencije, banke, kolege iz firme, šefovi ili bogati prinčevi s afričkog kontinenta koji imaju veliko bogatstvo spremno za podijeliti samo im treba 100-200 dolara da podignu novac ¯\_(ツ)_/¯), nadaju se nepažnji žrtve te da će ona preuzeti malicioznu datoteku i pokrenuti makro naredbu prema uputama napadača. Ukoliko osoba pokrene izvršavanje makro naredbi vjerojatno će se dogoditi jedan od scenarija koje smo nabrojali u prethodnom poglavlju, bio to ransomware, remote access, dugotrajno prikriveno prikupljanje povjerljivih podataka ili nešto treće. Naprednija vrsta phishing prijevara su prijevare temeljene na socijalnom inženjeringu, slično kao i kod phishing napada, napadač se predstavlja kao legitimni entitet, ali uz to posjeduje privatne informacije žrtve te koristi te informacije kako bi zadobio povjerenje žrtve te se dodatno predstavio kao legitimni entitet. Socijalni inženjering se češće obavlja telefonski ili preko video poziva upravo kako bi se dobio dojam legitimnosti te lakše uvjerilo žrtvu da pokrene neki zloćudni software na svoj računalu, u našem slučaju to bi bile makro naredbe unutar word dokumenata. Širenje malicioznih word dokumenata dodatno olakšavaju društvene mreže na kojima je moguće doći do masovnog širenja malicioznih dokumenata te razni servisi za pohranu podataka u oblaku koji se lako i jeftino koriste te im je skoro nemoguće stati na kraj tradicionalnim metodama poput blokiranja servisa preko ISP-a ili registrara domena.

Kad su u pitanju maliciozni dokumenti edukacija i prevencija su najisplativije opcije zaštite. Između malicioznog dokumenta i štete na sustavu u konačnici uvijek stoji ljudska osoba, spam fileteri i antivirusna programska podrška mogu pomoći, ali nisu apsolutno savršeni, u konačnici će uvijek čovjek biti taj koji mora omogućiti makro naredbi da se izvrši. U sklopu edukacije zaposlenicima i potencijalnim žrtvama treba na slikovit način objasniti koje su posljedice potencijalnih napada i kompromisa sigurnosti, koje su najčešće metode napada, kako se zaštiti od najčešćih napada. U slučaju malicioznih word dokumenata to bi značilo isključiti automatsko pokretanje makro naredbi (ako već nije), ne pokretati makro naredbe dokumenata koji dolaze iz nepovjerljivih izvora (van odjela, firme, regije, države, …), bilo bi dobro potupuno ignorirati dokumente i priloge iz nepouzdanih izvora i ne pokušavati ih otvoriti ili pokretati. Uz to, sva programska podrška koja je namjenjena zaštiti i sprječavanju incidenata treba biti redovito nadograđivana najnovijim sigurnosnim zakrpama i potpisima malicioznih dokumenata.

Analiza malicioznih dokumenata je dinamičko područje koje zahtjeva veliku dozu kreativnosti, iskustva i specijaliziranog domenskog znanja. Najbitnije pravilo je da se maliciozni dokumenti ne otvaraju i pokreću na računalu koje sadrži povjerljive informacije ili je povezano s ostalim računalima na lokalnoj mreži. Već na ovom pravilu pronalazimo neke izuzetke, maliciozni programi mogu biti dovoljno napredni da znaju kad se izvršavaju u virtualnim strojevima, testnim okolinama ili u izoliranom mrežnom području [3]. U takvim slučajevima potrebno je ući dublje u analizu malwarea, modificirati parametrne testnog okruženja i pokušati ponovo. Napadači i istraživači se kontinuirano igraju mačke i miša gdje jedna strana pokušava steći prednost nad drugom. Te nakon što istraživači razviju novu metodu detekcije ili zaštite, napadači pronađu način da to zaobiđu.

Kako bi izbjegli detekciju antivirusnim software-om ili filtrima, makro naredbe se obfusciraju (maskiraju pravu svrhu programskog koda) ili koriste kao “payload delivery method”, gdje je i “payload” (krajnji maliciozni kod ili ponovo međukorak u dostavi) dodatno obfusciran enkodiranjem, podijelom, konkatenacijom i slično [4]. Takve metode dodatno otežavaju analizu malicioznih dokumenata.

Maliciozni word dokumenti su čest način širenja zloćudnog koda, mogu uzrokovati velike probleme žrtvama uključujući i financijsku štetu. Sami maliciozni dokumenti mogu se širiti društvenim mrežama, email prijevarama ili preko prevarantskih web stranica. Zaštita je više stupanjska; uključuje onemogućavanje automatskog izvršavanja makro naredbi na računalu korisnika te ne izvršavanje makro naredbi dokumentana koji dolaze iz nepovjerljivih izvora, održavanje programske podrške i antivirusnog softwarea ažurnim te konfiguracija email filtera od strane mail server administratora. Računalni forenzičari koji istražuju ovakve dokumente moraju voditi posebnu brigu u kakvom okruženju pokreću makro naredbe te izolirati okruženje kako se maliciozni kod nebi proširio na druga računala u lokalnoj mreži. Kako se rad s dokumentima sve više obavlja u cloud okruženju koristeći web servise, opasnost od malicioznih word dokumenata će se smanjivati zbog manjeg izlaganja vlastitog sustava zloćudnom kodu.

[1] Concept, http://virus.wikidot.com/concept, [13.1.2022.]

[2] Awati, Rahul, Rosencrance, Linda, macro virus, updated September 2021., https://www.techtarget.com/searchsecurity/definition/macro-virus, [13.1.2022.]

[3] Armasu, Lucian, Malicious Microsoft Word Files Use New Techniques To Evade Security Sandboxes, 10.6.2016., https://www.tomshardware.com/news/malicious-word-files-evade-sandboxes,32034.html, [13.1.2022.]

[4] Maharjan, Nishan, A MS word malware analysis Part2: Analyzing malicious macros, 4.5.2020., https://medium.com/@nishanmaharjan17/a-ms-word-malware-analysis-part2-analyzing-malicious-macros-2a17d96d086f, [13.1.2022.]