วิธีตั้งค่าบน Windows เพื่อป้องกัน Macro-based Malware

เป็นที่ทราบดีว่ามัลแวร์หลายชนิดนิยมแฝงตัวมากับไฟล์แนบของอีเมล ซึ่งเป็นไฟล์เอกสาร MS Word ที่มีการใช้งานมาโคร (Macro) เมื่อเหยื่อเปิดไฟล์เอกสารดังกล่าว มาโครจะเริ่มทำงานแล้วจัดการดาวน์โหลดมัลแวร์เข้ามาติดตั้งลงบนเครื่องของผู้ใช้ ที่พบบ่อยในปัจจุบันก็คือ Ransomware หรือมัลแวร์เรียกค่าไถ่นั่นเอง เว็บไซต์ชื่อดังอย่าง The Hacker News จึงแนะนำขั้นตอนการตั้งค่าบน Windows เพื่อป้องกันมัลแวร์ที่ใช้มาโครในการโจมตี (Malware-based Malware) ดังนี้

มาโคร คืออะไร อันตรายอย่างไร

แนวคิดของมาโคร ต้องย้อนกลับไปตั้งแต่ยุค 90 หลายคนอาจคุ้นเคยกับข้อความแจ้งเตือนเมื่อเปิด MS Word คือ “Warning: This document contains macros.”

มาโคร เป็นชุดของคำสั่งและการกระทำซึ่งช่วยให้สามารถทำงานบางอย่างได้โดยอัตโนมัติ โปรแกรม MS Office รองรับการใช้งานมาโครที่ถูกเขียนด้วยภาษา Visual Basic for Application (VBA) ซึ่งแฮ็คเกอร์สามารถนำไปใช้ประโยชน์เพื่อดำเนินการตามความต้องการของตน เช่น ติดตั้งมัลแวร์ ได้

แฮ็คเกอร์มักใช้วิธี Social Engineering ในการซ่อนมาโครแปลกปลอม (Malicious Macros) ไว้ในไฟล์เอกสาร แล้วแนบมากับ Email Phishing โดยตั้งชื่อให้เป็นที่น่าสนใจ เช่น ใบแจ้งหนี้จากธนาคาร หรือ PO จากลูกค้า เป็นต้น เมื่อผู้ใช้เปิดไฟล์เอกสารแนบดังกล่าว จะมีป๊อบอัพแจ้งเตือนบน MS Word ว่าให้ “Enable Editing” เพื่อดูเนื้อหาภายในไฟล์ ในกรณีที่ผู้ใช้เผลอกด “Enable Editing” มาโครจะเริ่มทำงานตาม Payload ที่กำหนดไว้ในมาโคร เช่น ดาวน์โหลดมัลแวร์มาติดตั้ง เป็นต้น

prevent_macro-based_malware_1

ตัวอย่างมัลแวร์ที่ใช้มาโครในการแพร่กระจายตัว ได้แก่ Dridex ซึ่งเป็น Banking Malware ที่โจมตีธนาคารในสหราชอาณาจักรและขโมยเงินไปมากกว่า 20 ล้านยูโร และ Locky Ransomware มัลแวร์เรียกค่าไถ่ชื่อดังที่สามารถแพร่กระจายตัวไปทั่วโลกได้ภายในเวลาไม่กี่ชั่วโมง

ป้องกันเครื่องคอมพิวเตอร์จาก Macro-based Malware ได้อย่างไร

ขั้นตอนที่ 1: ตั้งค่า Trusted Location

ในบางสภาวะแวดล้อม เราไม่สามารถปิดการใช้งานมาโครได้ เนื่องจากต้องการใช้มาโครเพื่อลดความซับซ้อนของการทำงานบางอย่างหรือให้ทำงานโดยอัตโนมัติ กรณีนี้ เราสามารถย้ายไฟล์ที่ต้องใช้งานมาโครไปไว้ในโซน DMZ ของบริษัทแทน เรียกว่า Trusted Location ซึ่งมาโครที่ไม่ได้อยู่ในตำแหน่งดังกล่าวจะไม่สามารถรันได้

สามารถตั้งค่า Trusted Location ได้ที่ User Configuration/Administrative Templates/Microsoft Office XXX 20XX/Application Settings/Security/Trust Center/Trusted Locations

ขั้นตอนที่ 2: บล็อกมาโครในไฟล์เอกสารที่มาจากอินเทอร์เน็ต

Microsoft เพิ่มฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่ใน MS Office 2016 ซึ่งช่วยจำกัดการโจมตีผ่านทางการใช้มาโครได้ ซึ่งฟีเจอร์นี้เป็นการตั้งค่า Group Policy ซึ่งช่วยให้ผู้ดูแลระบบของบริษัทสามารถยกเลิกการใช้มาโครที่รันบนไฟล์เอกสารที่มาจากอินเทอร์เน็ตได้

prevent_macro-based_malware_2

การตั้งค่าดังกล่าวเรียกว่า “Block macros from running in Office files from the Internet” ซึ่งสามารถตั้งค่าได้ผ่านทาง Group Policy Management Editor ที่ User configuration > Administrative templates > Microsoft Word 2016 > Word Options > Security > Trust Center

หลังจากที่เปิดใช้การตั้งค่าดังกล่าว มาโครที่มาจากอินเทอร์เน็ตจะถูกบล็อก ต่อให้ผู้ใช้ “Enable all macros” ใน Macros Settings ก็ตาม นอกจากนี้ ผู้ใช้จะเห็นข้อความแจ้งเตือนว่ามาโครถูกบล็อกไม่ให้รัน แทนที่จะเป็น “Enable Editing” เมื่อเปิดไฟล์เอกสาร วิธีการเดียวที่จะรันมาโครที่มาจากอินเทอร์เน็ตคือ ย้ายไฟล์เอกสารไปไว้ที่ Trusted Location แทน

prevent_macro-based_malware_3

ที่มา: http://thehackernews.com/2016/03/macro-malware-protection.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS Backup พร้อมให้บริการใน AWS Thailand Region แล้ว

ล่าสุด Amazon Web Services (AWS) ผู้ให้บริการยักษ์ใหญ่ได้ประกาศความพร้อมให้บริการ AWS Backup ที่จะสนับสนุนการทำสำรองปกป้องข้อมูลแบบ Managed Service ใน AWS Thailand Region …

Microsoft เปิดตัว Microsoft 365 Copilot Chat แบบจ่ายตามจริง

Microsoft ได้เพิ่มแพ็กเกจใหม่โดยเอาความสามารถ Chat ที่ได้รับอิทธิพลจาก GPT-4 มาขยายผลเป็นแพ็กเกจแบบจ่ายตามการใช้งาน โดยอันที่จริงก็คือความสามารถ Chat และ Agent ใน Microsoft 365 ที่มีอยู่แล้วนั่นแหละ เพียงแต่จะไม่ไปยุ่งเกี่ยวกับข้อมูลส่วนตัวในแอป …