Priloge Wordovega dokumenta, ki širijo zlonamerno programsko opremo, ne zahtevajo več omogočanja makrov
Že vrsto let je neželena e-pošta z zlonamernimi prilogami metoda, ki je izvršila 93 % zlonamerne programske opreme[1] zadnjih nekaj let. Sodeč po zadnjih novicah Trustwave SpiderLabs[2] raziskovalci, se zdi, da širjenje zlonamerne programske opreme, predvsem trojanskih, vohunskih programov, keyloggerjev, črvov, in Ransomware, bo nadalje odvisno od tega, koliko zlonamernih e-poštnih prilog bodo ljudje odprli. Kljub temu bodo hekerji uvedli eno pomembno spremembo – od zdaj naprej lahko ljudje prejemajo neželeno pošto z zlonamernimi prilogami Wordovega dokumenta, Excela ali PowerPointa, ne da bi morali zagnati makre skripta. Če je bila prejšnja zlonamerna programska oprema izvedena samo, ko je potencialna žrtev omogočila makre,[3] zdaj bo aktiviran samo z dvoklikom na prilogo e-pošte.
Tehnika brez makrov je že v uporabi
Čeprav ga je raziskovalcem uspelo odkriti šele v začetku februarja, se zdi, da je Tehnologija brez makrov je bila izdana veliko prej in potencialne žrtve so morda že jih prejel.
Ta nova neželena kampanja brez makrov uporablja zlonamerne priloge Word, ki aktivirajo štiristopenjsko okužbo, ki izkorišča Ranljivost Office Equation Editor (CVE-2017-11882) za pridobitev izvajanja kode iz e-pošte žrtve, FTP in brskalniki. Microsoft je že lani popravil ranljivost CVE-2017-11882, vendar mnogi sistemi iz kakršnih koli razlogov niso prejeli popravka.
Tehnika brez makrov, ki se uporablja za širjenje zlonamerne programske opreme, je neločljivo povezana s prilogo v formatu .DOCX, izvor neželene e-pošte pa je Necurs botnet.[4] Glede na Trustwave se lahko tema razlikuje, vendar imajo vsi finančno razmerje. Opažene so štiri možne različice:
- TNT IZPISK
- Zahteva za ponudbo
- Obvestilo o prenosu teleksa
- SWIFT KOPIJA ZA PLAČILO BALANCE
SpiderLabs je potrdil, da zlonamerna priloga sovpada z vsemi vrstami neželene e-pošte brez makrov. Po njihovem mnenju je priloga .DOCX imenovana »receipt.docx«.
Veriga tehnike izkoriščanja brez makrov
Večstopenjski proces okužbe se začne takoj, ko potencialna žrtev odpre datoteko .DOCX. Slednji sproži vdelan objekt OLE (Object Linking and Embedding), ki vsebuje zunanje reference na strežnike hekerjev. Na ta način hekerji dobijo oddaljeni dostop do predmetov OLE, na katere se sklicuje dokument.xml.rels.
Pošiljatelji neželene pošte izkoriščajo dokumente Word (ali .DOCX), ki so bili ustvarjeni s programom Microsoft Office 2007. Ta vrsta dokumentov uporablja format Open XML, ki temelji na arhivskih tehnologijah XML in ZIP. Napadalci so našli način, kako manipulirati s temi tehnologijami tako ročno kot samodejno. Po tem se druga faza začne šele, ko uporabnik osebnega računalnika odpre zlonamerno datoteko .DOCX. Ko se datoteka odpre, vzpostavi oddaljeno povezavo in prenese datoteko RTF (format datoteke z obogatenim besedilom).
Ko uporabnik odpre datoteko DOCX, povzroči dostop do oddaljene datoteke dokumenta z naslova URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. To je pravzaprav datoteka RTF, ki se prenese in izvede.
Takole shematično izgleda tehnika izvajanja zlonamerne programske opreme brez makrov:
- Potencialna žrtev prejme e-pošto s priloženo datoteko .DOCX.
- Dvoklikne prilogo in prenese predmet OLE.
- Zdaj se domnevna datoteka Doc, ki je v resnici RTF, sčasoma odpre.
- Datoteka DOC izkorišča ranljivost CVE-2017-11882 Office Equation Editor.
- Zlonamerna koda zažene ukazno vrstico MSHTA.
- Ta ukaz prenese in izvede datoteko HTA, ki vsebuje VBScript.
- VBScript razpakira skript PowerShell.
- Skript Powershell nato namesti zlonamerno programsko opremo.
Posodabljajte operacijski sistem Windows in Office, da se zaščitite pred napadi zlonamerne programske opreme brez makrov
Strokovnjaki za kibernetsko varnost še niso našli načina, kako zaščititi e-poštne račune ljudi pred napadi Necurs. Verjetno stoodstotne zaščite sploh ne bo mogoče najti. Najpomembnejši nasvet je, da se izogibate dvomljivim e-poštnim sporočilom. Če niste čakali na uradni dokument, pa ste ga prejeli od nikoder, ne nasedajte temu triku. Raziščite taka sporočila glede slovničnih ali tipkarskih napak, ker uradni organi skoraj ne bodo pustili napak v svojih uradnih obvestilih.
Poleg previdnosti je pomembno, da sta Windows in Office posodobljena. Tisti, ki so dalj časa onemogočili samodejno posodabljanje, so izpostavljeni velikemu tveganju za hude okužbe z virusi. Zastarel sistem in programska oprema, nameščena na njem, lahko vsebujeta ranljivosti, kot je CVE-2017-11882, ki jih je mogoče popraviti le z namestitvijo najnovejših posodobitev.