„Word“ dokumentų priedai, skleidžiantys kenkėjiškas programas, nebeprašo įjungti makrokomandų
Daugelį metų el. pašto šiukšlės su kenkėjiškais priedais yra metodas, kuris įvykdė 93 % kenkėjiškų programų[1] pastaruosius porą metų. Sprendžiant iš naujausių Trustwave SpiderLabs naujienų[2] tyrėjai, atrodo, kad kenkėjiškų programų, daugiausia Trojos arklių, šnipinėjimo programų, klavišų registratorių, kirminų, platinimas, ir Ransomware, toliau priklausys nuo to, kiek kenkėjiškų el. pašto priedų žmonės ketina atidaryti. Nepaisant to, įsilaužėliai ketina įvesti vieną svarbų pakeitimą – nuo šiol žmonės gali gauti šiukšlių su kenkėjiškais Word dokumento, Excel arba PowerPoint priedais, nereikalaujant paleisti makrokomandų scenarijus. Jei ankstesnė kenkėjiška programa buvo vykdoma tik tada, kai potenciali auka įjungė makrokomandas,[3] dabar jis bus suaktyvintas tiesiog dukart spustelėjus el. laiško priedą.
Technika be makrokomandų jau naudojama
Nors mokslininkams jį pavyko aptikti tik vasario pradžioje, panašu, kad Technologijos be makrokomandų buvo išleistos gerokai anksčiau, o potencialios aukos jau galėjo tai padaryti juos gavo.
Šioje naujoje šlamšto kampanijoje be makrokomandų naudojami kenkėjiški Word priedai, kurie suaktyvina keturių pakopų infekciją, kuri išnaudoja „Office Equation Editor“ pažeidžiamumas (CVE-2017-11882), norint gauti kodo vykdymą iš aukos el. pašto, FTP ir naršyklės. „Microsoft“ jau praėjusiais metais pataisė CVE-2017-11882 pažeidžiamumą, tačiau daugelis sistemų dėl kokių nors priežasčių negavo pataisos.
Technika be makrokomandų, naudojama kenkėjiškoms programoms platinti, yra būdinga .DOCX formato priedui, o el. pašto šiukšlių šaltinis yra Necurs botnetas.[4] Pasak Trustwave, tema gali skirtis, tačiau visi jie turi finansinių santykių. Buvo pastebėtos keturios galimos versijos:
- TNT SĄSKAITOS ATASKAITA
- Citatos prašymas
- Telekso perdavimo pranešimas
- SWIFT KOPIJA LIAKUČIUI APMOKĖTI
„SpiderLabs“ patvirtino, kad kenkėjiškas priedas sutampa su visų tipų nepageidaujamais el. laiškais be makrokomandų. Anot jų, .DOCX priedas pavadintas „receipt.docx“.
Makro-free eksploatavimo technikos grandinė
Daugiapakopis infekcijos procesas prasideda iškart, kai potenciali auka atidaro .DOCX failą. Pastarasis suaktyvina įterptąjį OLE (Object Linking and Embedding) objektą, kuriame yra išorinių nuorodų į įsilaužėlių serverius. Tokiu būdu įsilaužėliai gauna nuotolinę prieigą prie OLE objektų, kurie turi būti nurodyti dokumente document.xml.rels.
Šlamšto siuntėjai naudojasi Word (arba .DOCX formato) dokumentais, kurie buvo sukurti naudojant Microsoft Office 2007. Šio tipo dokumentuose naudojamas Open XML formatas, pagrįstas XML ir ZIP archyvų technologijomis. Užpuolikai rado būdą manipuliuoti šiomis technologijomis rankiniu būdu ir automatiškai. Po to antrasis etapas prasideda tik tada, kai kompiuterio vartotojas atidaro kenkėjišką .DOCX failą. Kai failas atidaromas, jis užmezga nuotolinį ryšį ir atsisiunčia RTF (raiškiojo teksto failo formato) failą.
Kai vartotojas atidaro DOCX failą, nuotolinis dokumento failas pasiekiamas iš URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Tai iš tikrųjų yra RTF failas, kuris atsisiunčiamas ir vykdomas.
Taip schematiškai atrodo kenkėjiškų programų vykdymo technika be makrokomandų:
- Potenciali auka gauna el. laišką su pridėtu .DOCX failu.
- Jis arba ji du kartus spustelėja priedą ir atsisiunčia OLE objektą.
- Dabar galiausiai atsidaro tariamas Doc failas, kuris iš tikrųjų yra RTF.
- DOC failas išnaudoja CVE-2017-11882 Office Equation Editor pažeidžiamumą.
- Kenkėjiškas kodas paleidžia MSHTA komandų eilutę.
- Ši komanda atsisiunčia ir paleidžia HTA failą, kuriame yra VBScript.
- VBScript išpakuoja PowerShell scenarijų.
- „Powershell“ scenarijus vėliau įdiegia kenkėjišką programą.
Atnaujinkite Windows OS ir Office, kad apsisaugotumėte nuo kenkėjiškų programų atakų be makrokomandų
Kibernetinio saugumo ekspertai dar nerado būdo apsaugoti žmonių el. pašto paskyras nuo Necurs atakų. Tikriausiai šimtaprocentinės apsaugos išvis nepavyks rasti. Svarbiausias patarimas – vengti abejotinų el. pašto pranešimų. Jei nelaukėte oficialaus dokumento, bet jį gavote iš niekur, neapsigaukite šia gudrybe. Ištirkite tokius pranešimus dėl gramatikos ar rašybos klaidų, nes oficialios institucijos vargu ar nepaliks klaidų savo oficialiuose pranešimuose.
Be atsargumo, svarbu nuolat atnaujinti „Windows“ ir „Office“. Tie, kurie ilgą laiką išjungė automatinius naujinimus, turi didelę sunkių virusinių infekcijų riziką. Pasenusi sistema ir joje įdiegta programinė įranga gali turėti spragų, pvz., CVE-2017-11882, kurias galima pataisyti tik įdiegus naujausius naujinimus.