Privici Wordovih dokumenata koji šire zlonamjerni softver više ne traže omogućavanje makronaredbi
Dugi niz godina, neželjena e-pošta sa zlonamjernim privitcima je metoda koja je izvršila 93% zlonamjernog softvera[1] zadnjih par godina. Sudeći prema najnovijim vijestima Trustwave SpiderLabsa[2] istraživači, čini se da širenje zlonamjernog softvera, uglavnom trojanaca, špijunskog softvera, keyloggera, crva, i Ransomware, ovisit će i o tome koliko će zlonamjernih privitaka e-pošte ljudi otvoriti. Ipak, hakeri će uvesti jednu važnu promjenu – od sada ljudi mogu primati neželjenu poštu sa zlonamjernim privitcima Word dokumenta, Excela ili PowerPointa bez potrebe za pokretanjem makronaredbi skripta. Ako se raniji zlonamjerni softver izvršavao samo kada je potencijalna žrtva omogućila makronaredbe,[3] sada će se aktivirati samo dvostrukim klikom na privitak e-pošte.
Tehnika bez makronaredbe već se koristi
Iako su ga istraživači uspjeli otkriti tek početkom veljače, čini se da je Tehnologija bez makronaredbe objavljena je mnogo ranije, a potencijalne žrtve možda su već bile primio ih.
Ova nova neželjena kampanja bez makronaredbi koristi zlonamjerne Wordove privitke za aktiviranje infekcije u četiri stupnja, koja iskorištava Ranjivost Office Equation Editor (CVE-2017-11882) za dobivanje izvršenja koda iz e-pošte žrtve, FTP-a i preglednici. Microsoft je prošle godine već zakrpio ranjivost CVE-2017-11882, ali mnogi sustavi nisu primili zakrpu iz bilo kojeg razloga.
Tehnika bez makronaredbe koja se koristi za širenje zlonamjernog softvera svojstvena je privitku u formatu .DOCX, dok je podrijetlo neželjene e-pošte Necurs botnet.[4] Prema Trustwaveu, tema može varirati, ali svi oni imaju financijski odnos. Uočene su četiri moguće verzije:
- TNT IZJAVA O RAČUNU
- Zahtjev za ponudu
- Obavijest o prijenosu teleksa
- SWIFT KOPIJA ZA PLAĆANJE BILANCA
SpiderLabs je odobrio da se zlonamjerni privitak podudara sa svim vrstama neželjene e-pošte bez makronaredbe. Prema njima, privitak .DOCX naziva se "receipt.docx".
Lanac tehnike eksploatacije bez makroa
Proces zaraze u više faza počinje čim potencijalna žrtva otvori .DOCX datoteku. Potonji pokreće ugrađeni OLE (Object Linking and Embedding) objekt koji sadrži vanjske reference na poslužitelje hakera. Na taj način hakeri dobivaju udaljeni pristup OLE objektima na koje se upućuje u document.xml.rels.
Pošiljatelji neželjene pošte iskorištavaju Word (ili .DOCX format) dokumente koji su stvoreni pomoću Microsoft Office 2007. Ova vrsta dokumenata koristi Open XML Format, koji se temelji na XML i ZIP arhivskim tehnologijama. Napadači su pronašli način da manipuliraju tim tehnologijama i ručno i automatski. Nakon toga, druga faza počinje tek kada korisnik računala otvori zlonamjernu .DOCX datoteku. Kada se datoteka otvori, uspostavlja udaljenu vezu i preuzima RTF (format datoteke obogaćenog teksta) datoteku.
Kada korisnik otvori DOCX datoteku, to uzrokuje pristup datoteci udaljenog dokumenta s URL-a: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Ovo je zapravo RTF datoteka koja se preuzima i izvršava.
Ovako shematski izgleda tehnika izvršavanja zlonamjernog softvera bez makroa:
- Potencijalna žrtva dobiva e-mail s priloženom .DOCX datotekom.
- On ili ona dvaput klikne na privitak i preuzme OLE objekt.
- Sada se na kraju otvara navodna Doc datoteka, koja je u stvarnosti RTF.
- DOC datoteka iskorištava ranjivost CVE-2017-11882 Office Equation Editor.
- Zlonamjerni kod pokreće naredbeni redak MSHTA.
- Ova naredba preuzima i izvršava HTA datoteku koja sadrži VBScript.
- VBScript raspakira PowerShell skriptu.
- Powershell skripta naknadno instalira zlonamjerni softver.
Održavajte Windows OS i Office ažurnim kako biste se zaštitili od napada zlonamjernog softvera bez makronaredbe
Stručnjaci za kibernetičku sigurnost još nisu pronašli način da zaštite e-mail račune ljudi od Necurs napada. Vjerojatno se stopostotna zaštita uopće neće naći. Najvažniji savjet je da se klonite sumnjivih poruka e-pošte. Ako niste čekali službeni dokument, ali ste ga dobili niotkuda, nemojte nasjedati na ovaj trik. Istražite u takvim porukama gramatičke ili tiskarske pogreške jer službena tijela teško da će ostaviti pogreške u svojim službenim obavijestima.
Osim opreza, važno je održavati Windows i Office ažurnim. Oni koji su dugo vremena onemogućili automatsko ažuriranje izloženi su velikom riziku od teških virusnih infekcija. Zastarjeli sustav i softver instaliran na njemu mogu sadržavati ranjivosti poput CVE-2017-11882, koji se mogu zakrpiti samo instaliranjem najnovijih ažuriranja.