Makroviry jsou zpět!

Od poloviny devadesátých let jsme se ve světě informačních technologiích začali setkávat s novým typem virů, který svoji existenci primárně spojil s dokumenty. Ano, řeč je o tzv. makrovirech, které počítačoví zločinci vyvíjeli – a jak si za chvíli ukážeme, vyvíjet nepřestali – v pokročilých makrojazycích moderních kancelářských balíků. Příkladem takového jazyka je velmi dobře známý VBA, tedy Visual Basic for Applications pro produkty z rodiny Microsoft Office. (TZ)

Obliba makrovirů vzrůstala přibližně až do roku 2001, a to zejména díky různým novým principům pro tvorbu a šíření virů. V prvních letech nového tisíciletí se ale situace začala měnit a ke smrtícímu úderu na makroviry došlo spolu s uvedením kancelářského balíku Microsoft Office ve verzi 2007. Pro makroviry nepříznivou situaci potvrzoval i klesající výskyt tohoto typu hrozeb odhalených globální sítí pro zkoumání hrozeb SophosLabs. Sem tam se sice nějaký ten makrovir ve wordovském dokumentu či excelovském souboru objevil, ale v žádném případě nešlo o masivní záležitost.

Přežití? Evoluce!

Před pár měsíci ale nastala změna a s největší pravděpodobností lze potvrdit, že makroviry jsou zpět. Podle Sophosu z vyhodnocení různých virových zranitelností ve dvouměsíčním období březen-duben letošního roku navíc vyplývá, že tzv. stahovače v podobě makrovirů nad VBA jsou třetí nejčastější hrozbou vůbec. Proč tomu tak je? Vždyť přece vše vypadalo ještě v nedávné minulosti jasně a pro potenciální oběti kyberkriminality příznivě. Vanja Svajcer, ředitel výzkumu ve společnosti Sophos, poukazuje na jistou paralelu s bakteriemi a účinností antibiotik: „Tvůrci makrovirů se přizpůsobili a ve větší míře využívají odlišné přístupy založené na sociálním inženýrství. Musíme si také uvědomit, že viry vytvořené ve VBA jsou velmi sofistikované a že možnosti tohoto jazyka jsou opravdu značné,“ říká Vanja Svajcer.

Díky tomu, že automatické provádění maker je v prostředí Office zakázáno, museli autoři makrovirů najít novou cestu, jak zajistit spuštění škodlivého kódu. Jinými slovy, spuštění makroviru musíme sami povolit a tím otevřít brány infekci. A jako možný způsob, jak obejít ochranu založenou na zákazech, se ukazuje právě sociální inženýrství včetně manipulace s pocity koncových uživatelů. Počítačoví zločinci pochopili, že není zase až tak složité vnutit uživateli myšlenku, že při povolení maker získají přístup k dalšímu či podrobnějšímu obsahu. Ke konci ledna 2014 zachytily laboratoře Sophos nejméně 75 různých variant, jak uživatele obalamutit. Pojďme se podívat na některé z nich.

Sami si to povolíme, sami nakazíme

Typickým příkladem, který je založený na sociálních technikách podobných těm z distribuční kampaně Napolar z konce loňského roku, je dokument obsahující rozmazaný obsah. Úroveň rozostření je nicméně zvolena tak, aby uživatele možný obsah zaujal – na první pohled jde o bankovní výpis či přehled transakcí. Nad rozmazaným obrázkem je jasně čitelná informace o tom, že jde o způsob zabezpečení a že k obsahu se dostanete po povolení maker. Samozřejmě v dokumentu nechybí ani velká šipka, která ukazuje, kde je možné spuštění maker povolit.

No řekněte sami, není drzost počítačových zločinců do nebe volající? A to ještě zdaleka není vše, před čím se uživatelé musí mít na pozoru.  Mezi další varianty patří využití pouze textových informací bez rozostřeného obrázku, označení části textu jako tajného nebo třeba zobrazení pouze základních informací o autorovi dokumentu. Takřka vždy je ale součástí výzva k povolení maker. A někdy je dokonce viditelná pouze tato výzva.

Všechny varianty dnešních makrovirů přitom mají společné dvě věci. První z nich je snaha přimět nás k povolení maker na základě představy, že poté budeme mít přístup k dalšímu – a to obzvláště důležitému – obsahu. Za druhé, po povolení maker dojde k znovuotevření dokumentu a spuštění kódu v jazyce VBA, který se již postará o ty špatnosti, se kterými nechceme nic mít.

Makrovir je program

A jak vlastně takový makrovir vypadá? Jeho základní struktura vypadá nějak takto:

 

Sub Auto_Open()

 main_code()

End Sub

Sub main_code()

End Sub

Sub AutoOpen()

 Auto_Open

End Sub

Sub Workbook_Open()

 Auto_Open

End Sub

Důležité je, že makro se může aktivovat nejen při otevření dokumentu, ale také při určité události – například při vybrání určité položky z nabídky, při zavření dokumentu, při vytvoření nového dokumentu apod. Některé z těchto událostí jsou tedy globální. A i když jsou možnosti tabulkového procesoru MS Excel z tohoto pohledu větší, laboratoře SophosLabs nezaznamenaly žádný dokument aplikace Excel, který by obsahovat makrovir. Vždy šlo jen o textové dokumenty. Důvod, proč jsou ve struktuře kódu prvky i pro tabulkový procesor, tedy nejspíše souvisí s jistou leností vyčistit „produkční kód“ makrovirů. Ty tak obsahují programové sekvence z různých počátečních pokusů.

Dnešní makroviry jsou dvojího typu – první z nich stahuje finální škodlivý kód a následně pomocí změn v registrech zajistí jeho spouštění při každém startu systému. Do této skupiny patří více než 80 procent současných makrovirů. Zbývající případy využívají techniky z konce tisíciletí, kdy je makrovir spojen s profilem uživatele operačního systému.

Z pohledu „rodokmenu“ makrovirů je zajímavé, že autorem všech dokumentů s tímto typem škodlivého kódu je uživatel tps. A s poslední změnou dokumentů jsou nejčastěji spojeni uživatelé DELL XPS, Xpera Z, Sammy Sam, Smmy2014, apod.

Dokumenty s makroviry prvního typu byly navíc vytvořené 3. ledna 2014, a i přes různou vizuální podobu se tak zcela jistě jedná o „sourozence“. Nepříliš potěšující je i skutečnost, že jednotlivé nakažené dokumenty se liší číslem revizí od 9 po 91 – jejich zdokonalování tedy neustále pokračuje. Situace u ostatních makrovirů je mírně odlišná a podobnost v časových informacích o vytvoření a poslední změně nasvědčuje spíše neustálému vytváření nových variant.

Renesance makrovirů může spolu se zneužitím sociálního inženýrství znamenat v budoucnu vážný problém a dopad průniku do světa kancelářských aplikací může poškodit opravdu velké množství uživatelů. Nicméně i zde platí jedna dobrá rada nad zlato – neexistuje jediný důvod, proč by měl být obsah dokumentu zobrazen správně pouze při zapnutých makrech. Při setkání s takovým dokumentem je takřka jisté, že jde o hrozbu z říše makrovirů.

Zdroj: Sophos