วิธีตั้งค่าบน Windows เพื่อป้องกัน Macro-based Malware

เป็นที่ทราบดีว่ามัลแวร์หลายชนิดนิยมแฝงตัวมากับไฟล์แนบของอีเมล ซึ่งเป็นไฟล์เอกสาร MS Word ที่มีการใช้งานมาโคร (Macro) เมื่อเหยื่อเปิดไฟล์เอกสารดังกล่าว มาโครจะเริ่มทำงานแล้วจัดการดาวน์โหลดมัลแวร์เข้ามาติดตั้งลงบนเครื่องของผู้ใช้ ที่พบบ่อยในปัจจุบันก็คือ Ransomware หรือมัลแวร์เรียกค่าไถ่นั่นเอง เว็บไซต์ชื่อดังอย่าง The Hacker News จึงแนะนำขั้นตอนการตั้งค่าบน Windows เพื่อป้องกันมัลแวร์ที่ใช้มาโครในการโจมตี (Malware-based Malware) ดังนี้

มาโคร คืออะไร อันตรายอย่างไร

แนวคิดของมาโคร ต้องย้อนกลับไปตั้งแต่ยุค 90 หลายคนอาจคุ้นเคยกับข้อความแจ้งเตือนเมื่อเปิด MS Word คือ “Warning: This document contains macros.”

มาโคร เป็นชุดของคำสั่งและการกระทำซึ่งช่วยให้สามารถทำงานบางอย่างได้โดยอัตโนมัติ โปรแกรม MS Office รองรับการใช้งานมาโครที่ถูกเขียนด้วยภาษา Visual Basic for Application (VBA) ซึ่งแฮ็คเกอร์สามารถนำไปใช้ประโยชน์เพื่อดำเนินการตามความต้องการของตน เช่น ติดตั้งมัลแวร์ ได้

แฮ็คเกอร์มักใช้วิธี Social Engineering ในการซ่อนมาโครแปลกปลอม (Malicious Macros) ไว้ในไฟล์เอกสาร แล้วแนบมากับ Email Phishing โดยตั้งชื่อให้เป็นที่น่าสนใจ เช่น ใบแจ้งหนี้จากธนาคาร หรือ PO จากลูกค้า เป็นต้น เมื่อผู้ใช้เปิดไฟล์เอกสารแนบดังกล่าว จะมีป๊อบอัพแจ้งเตือนบน MS Word ว่าให้ “Enable Editing” เพื่อดูเนื้อหาภายในไฟล์ ในกรณีที่ผู้ใช้เผลอกด “Enable Editing” มาโครจะเริ่มทำงานตาม Payload ที่กำหนดไว้ในมาโคร เช่น ดาวน์โหลดมัลแวร์มาติดตั้ง เป็นต้น

prevent_macro-based_malware_1

ตัวอย่างมัลแวร์ที่ใช้มาโครในการแพร่กระจายตัว ได้แก่ Dridex ซึ่งเป็น Banking Malware ที่โจมตีธนาคารในสหราชอาณาจักรและขโมยเงินไปมากกว่า 20 ล้านยูโร และ Locky Ransomware มัลแวร์เรียกค่าไถ่ชื่อดังที่สามารถแพร่กระจายตัวไปทั่วโลกได้ภายในเวลาไม่กี่ชั่วโมง

ป้องกันเครื่องคอมพิวเตอร์จาก Macro-based Malware ได้อย่างไร

ขั้นตอนที่ 1: ตั้งค่า Trusted Location

ในบางสภาวะแวดล้อม เราไม่สามารถปิดการใช้งานมาโครได้ เนื่องจากต้องการใช้มาโครเพื่อลดความซับซ้อนของการทำงานบางอย่างหรือให้ทำงานโดยอัตโนมัติ กรณีนี้ เราสามารถย้ายไฟล์ที่ต้องใช้งานมาโครไปไว้ในโซน DMZ ของบริษัทแทน เรียกว่า Trusted Location ซึ่งมาโครที่ไม่ได้อยู่ในตำแหน่งดังกล่าวจะไม่สามารถรันได้

สามารถตั้งค่า Trusted Location ได้ที่ User Configuration/Administrative Templates/Microsoft Office XXX 20XX/Application Settings/Security/Trust Center/Trusted Locations

ขั้นตอนที่ 2: บล็อกมาโครในไฟล์เอกสารที่มาจากอินเทอร์เน็ต

Microsoft เพิ่มฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่ใน MS Office 2016 ซึ่งช่วยจำกัดการโจมตีผ่านทางการใช้มาโครได้ ซึ่งฟีเจอร์นี้เป็นการตั้งค่า Group Policy ซึ่งช่วยให้ผู้ดูแลระบบของบริษัทสามารถยกเลิกการใช้มาโครที่รันบนไฟล์เอกสารที่มาจากอินเทอร์เน็ตได้

prevent_macro-based_malware_2

การตั้งค่าดังกล่าวเรียกว่า “Block macros from running in Office files from the Internet” ซึ่งสามารถตั้งค่าได้ผ่านทาง Group Policy Management Editor ที่ User configuration > Administrative templates > Microsoft Word 2016 > Word Options > Security > Trust Center

หลังจากที่เปิดใช้การตั้งค่าดังกล่าว มาโครที่มาจากอินเทอร์เน็ตจะถูกบล็อก ต่อให้ผู้ใช้ “Enable all macros” ใน Macros Settings ก็ตาม นอกจากนี้ ผู้ใช้จะเห็นข้อความแจ้งเตือนว่ามาโครถูกบล็อกไม่ให้รัน แทนที่จะเป็น “Enable Editing” เมื่อเปิดไฟล์เอกสาร วิธีการเดียวที่จะรันมาโครที่มาจากอินเทอร์เน็ตคือ ย้ายไฟล์เอกสารไปไว้ที่ Trusted Location แทน

prevent_macro-based_malware_3

ที่มา: http://thehackernews.com/2016/03/macro-malware-protection.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

True IDC บุกตลาดValue-Added Services บน Data Center และ Cloud

True IDC ผู้นำธุรกิจการให้บริการ Data Center และ Cloud Computing ในประเทศไทย จัดทัพให้บริการ Value-Added Services ซึ่งเป็นซีรี่ย์โซลูชัน IT ในรูปแบบ …

nForce เชิญร่วมงานสัมมนา Scale Out Your Business Performance with Next-Gen Data Center

หาก Data Center ที่คุณใช้ไม่ตอบโจทย์ธุรกิจหรือองค์กรคุณอีกต่อไป ขอเรียนเชิญท่านผู้สนใจร่วมงานสัมมนา Scale Out Your Business Performance with Next-Gen Data Center สัมมนาที่จะช่วยให้คุณเข้าใจ …