إيه هي الMacros؟ قدراتها؟ ليه بيستخدموها كتير في الPhishing Emails بدل الملفات التنفيذية؟ إيه الأدوات اللازمة لتحليلها؟
الMacros عبارة عن مجموعة أوامر بتعمل Automation لوظايف معينة في بعض البرامج...
وكعادة الThreat Actors اللي بيعملو بطاطس من أي حاجة فهم استغلّو الماكرو دي وعملو منها Macro Malware واللي بتستخدم لغة برمجة موجودة في برامج Microsoft Office اسمها VBA (اختصار Visual Basic for Application)
لما بتحصل Phishing Campaign على شركة أو منظمة بيتم استخدام الMacros في الPhishing Emails كDropper أو Downloader عشان تحمل المرحلة التانية (2nd stage) من الMalware.
ليه المهاجمين بيبعتو Macros في الEmails بدل ما يبعتو ملفات تنفيذية Executable وخلاص؟
عشان الMacros أسهل في خداع المستخدم وفرصة انه يحملها ويشغلها بشوية هندسة إجتماعية بتكون أعلى دا غير ان الناس كل يوم بيبعتو لبعض مستندات office سواء في شغل او دراسة او غيرهم، على عكس الملفات التنفيذية ببساطة لو اتبعتلك أي ملف تنفيذي في email اكيد هتشك فيه بنسبة كبيرة جدا وهتخاف تحمله وتشغله على جهازك.
بعض قدرات الMacros:
-تقدر تتفاعل مع نظام التشغيل أو الشبكة وتنفذ Malicious Activities زي تحميل أو إنشاء ملفات أو تشغيل برامج، وممكن يتم استخدامها لوحدها بدون تحميل أي حاجة من الانترنت
-ممكن تشتغل تلقائياً بمجرد فتح المستند والضغط على Enable Content
-ممكن يتم إخفاءها بال obfuscation بحيث تتخطى أساليب الحماية والكشف
-مش بتتخزن مشفّرة بالتالي ممكن يتم تنفيذها مباشرةً حتى لو فيه password على المستند
بعض أدوات تحليل الMacros:
-Microsoft Office
-OleTools
-CMD Watcher
