วิธีตั้งค่าบน Windows เพื่อป้องกัน Macro-based Malware

เป็นที่ทราบดีว่ามัลแวร์หลายชนิดนิยมแฝงตัวมากับไฟล์แนบของอีเมล ซึ่งเป็นไฟล์เอกสาร MS Word ที่มีการใช้งานมาโคร (Macro) เมื่อเหยื่อเปิดไฟล์เอกสารดังกล่าว มาโครจะเริ่มทำงานแล้วจัดการดาวน์โหลดมัลแวร์เข้ามาติดตั้งลงบนเครื่องของผู้ใช้ ที่พบบ่อยในปัจจุบันก็คือ Ransomware หรือมัลแวร์เรียกค่าไถ่นั่นเอง เว็บไซต์ชื่อดังอย่าง The Hacker News จึงแนะนำขั้นตอนการตั้งค่าบน Windows เพื่อป้องกันมัลแวร์ที่ใช้มาโครในการโจมตี (Malware-based Malware) ดังนี้

มาโคร คืออะไร อันตรายอย่างไร

แนวคิดของมาโคร ต้องย้อนกลับไปตั้งแต่ยุค 90 หลายคนอาจคุ้นเคยกับข้อความแจ้งเตือนเมื่อเปิด MS Word คือ “Warning: This document contains macros.”

มาโคร เป็นชุดของคำสั่งและการกระทำซึ่งช่วยให้สามารถทำงานบางอย่างได้โดยอัตโนมัติ โปรแกรม MS Office รองรับการใช้งานมาโครที่ถูกเขียนด้วยภาษา Visual Basic for Application (VBA) ซึ่งแฮ็คเกอร์สามารถนำไปใช้ประโยชน์เพื่อดำเนินการตามความต้องการของตน เช่น ติดตั้งมัลแวร์ ได้

แฮ็คเกอร์มักใช้วิธี Social Engineering ในการซ่อนมาโครแปลกปลอม (Malicious Macros) ไว้ในไฟล์เอกสาร แล้วแนบมากับ Email Phishing โดยตั้งชื่อให้เป็นที่น่าสนใจ เช่น ใบแจ้งหนี้จากธนาคาร หรือ PO จากลูกค้า เป็นต้น เมื่อผู้ใช้เปิดไฟล์เอกสารแนบดังกล่าว จะมีป๊อบอัพแจ้งเตือนบน MS Word ว่าให้ “Enable Editing” เพื่อดูเนื้อหาภายในไฟล์ ในกรณีที่ผู้ใช้เผลอกด “Enable Editing” มาโครจะเริ่มทำงานตาม Payload ที่กำหนดไว้ในมาโคร เช่น ดาวน์โหลดมัลแวร์มาติดตั้ง เป็นต้น

prevent_macro-based_malware_1

ตัวอย่างมัลแวร์ที่ใช้มาโครในการแพร่กระจายตัว ได้แก่ Dridex ซึ่งเป็น Banking Malware ที่โจมตีธนาคารในสหราชอาณาจักรและขโมยเงินไปมากกว่า 20 ล้านยูโร และ Locky Ransomware มัลแวร์เรียกค่าไถ่ชื่อดังที่สามารถแพร่กระจายตัวไปทั่วโลกได้ภายในเวลาไม่กี่ชั่วโมง

ป้องกันเครื่องคอมพิวเตอร์จาก Macro-based Malware ได้อย่างไร

ขั้นตอนที่ 1: ตั้งค่า Trusted Location

ในบางสภาวะแวดล้อม เราไม่สามารถปิดการใช้งานมาโครได้ เนื่องจากต้องการใช้มาโครเพื่อลดความซับซ้อนของการทำงานบางอย่างหรือให้ทำงานโดยอัตโนมัติ กรณีนี้ เราสามารถย้ายไฟล์ที่ต้องใช้งานมาโครไปไว้ในโซน DMZ ของบริษัทแทน เรียกว่า Trusted Location ซึ่งมาโครที่ไม่ได้อยู่ในตำแหน่งดังกล่าวจะไม่สามารถรันได้

สามารถตั้งค่า Trusted Location ได้ที่ User Configuration/Administrative Templates/Microsoft Office XXX 20XX/Application Settings/Security/Trust Center/Trusted Locations

ขั้นตอนที่ 2: บล็อกมาโครในไฟล์เอกสารที่มาจากอินเทอร์เน็ต

Microsoft เพิ่มฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่ใน MS Office 2016 ซึ่งช่วยจำกัดการโจมตีผ่านทางการใช้มาโครได้ ซึ่งฟีเจอร์นี้เป็นการตั้งค่า Group Policy ซึ่งช่วยให้ผู้ดูแลระบบของบริษัทสามารถยกเลิกการใช้มาโครที่รันบนไฟล์เอกสารที่มาจากอินเทอร์เน็ตได้

prevent_macro-based_malware_2

การตั้งค่าดังกล่าวเรียกว่า “Block macros from running in Office files from the Internet” ซึ่งสามารถตั้งค่าได้ผ่านทาง Group Policy Management Editor ที่ User configuration > Administrative templates > Microsoft Word 2016 > Word Options > Security > Trust Center

หลังจากที่เปิดใช้การตั้งค่าดังกล่าว มาโครที่มาจากอินเทอร์เน็ตจะถูกบล็อก ต่อให้ผู้ใช้ “Enable all macros” ใน Macros Settings ก็ตาม นอกจากนี้ ผู้ใช้จะเห็นข้อความแจ้งเตือนว่ามาโครถูกบล็อกไม่ให้รัน แทนที่จะเป็น “Enable Editing” เมื่อเปิดไฟล์เอกสาร วิธีการเดียวที่จะรันมาโครที่มาจากอินเทอร์เน็ตคือ ย้ายไฟล์เอกสารไปไว้ที่ Trusted Location แทน

prevent_macro-based_malware_3

ที่มา: http://thehackernews.com/2016/03/macro-malware-protection.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เปิด Bug Bounty สำหรับแอพพลิเคชันบน Play Store มอบรางวัลสูงสุด $1,000

Google ประกาศเริ่มโปรแกรม Bug Bounty สำหรับผู้ที่สามารถค้นหาช่องโหว่บนแอพพลิเคชันยอดนิยมทั้งหลายใน Google Play Store พบ พร้อมมอบเงินรางวัลให้สูงสุดถึง $1,000 หรือประมาณ 33,000 บาท

หน่วยข่าวกรองของสหราชอาณาจักรเก็บข้อมูล Social Media ของประชาชน

กลุ่ม Privacy International อ้างว่าหน่วยข่าวกรองของสหราชอาณาจักรอาจทำการเก็บข้อมูลการใช้งานสังคมออนไลน์ของประชาชนชาวอังกฤษมานานกว่าทศวรรษและยังแชร์ให้กับหน่วยงานลับของต่างชาติ หลายฝ่ายยังคงตั้งข้อสงสัยการกระทำครั้งนี้ว่าเป็นการเมิดสิทธิความเป็นส่วนตัวหรือไม่?

ปิดโหมดสีเทา