เอกสารแนบ Word ที่แพร่กระจายมัลแวร์ไม่ขอให้เปิดใช้งาน Macros. อีกต่อไป
หลายปีที่ผ่านมา อีเมลขยะที่มีไฟล์แนบที่ประสงค์ร้ายเป็นวิธีการประหารชีวิต 93% ของมัลแวร์[1] ในช่วงสองสามปีที่ผ่านมา ตัดสินจากข่าวล่าสุดโดย Trustwave SpiderLabs[2] นักวิจัยดูเหมือนว่าการแพร่กระจายของมัลแวร์ส่วนใหญ่โทรจัน สปายแวร์ คีย์ล็อกเกอร์ เวิร์ม และ Ransomware จะขึ้นอยู่กับจำนวนไฟล์แนบอีเมลที่เป็นอันตรายที่ผู้คนจะเปิดขึ้น อย่างไรก็ตาม แฮกเกอร์กำลังจะนำเสนอการเปลี่ยนแปลงที่สำคัญอย่างหนึ่ง – จากนี้ไปผู้คนอาจได้รับสแปม ด้วยเอกสารแนบ Word, Excel หรือ PowerPoint ที่เป็นอันตรายโดยไม่ต้องเรียกใช้ Macros สคริปต์ หากมัลแวร์ก่อนหน้านี้ถูกเรียกใช้งานเฉพาะเมื่อผู้ที่อาจเป็นเหยื่อเปิดใช้งานมาโคร[3] ตอนนี้จะเปิดใช้งานโดยเพียงแค่ดับเบิลคลิกที่ไฟล์แนบอีเมล
มีการใช้เทคนิค Macro-less อยู่แล้ว
แม้ว่านักวิจัยจะตรวจพบได้ในช่วงต้นเดือนกุมภาพันธ์เท่านั้น แต่ดูเหมือนว่า เทคโนโลยี Macro-less ได้รับการเผยแพร่เร็วเกินไปและผู้ที่อาจตกเป็นเหยื่ออาจมีอยู่แล้ว ได้รับพวกเขา
แคมเปญสแปมที่ปราศจากมาโครใหม่นี้ใช้ไฟล์แนบ Word ที่เป็นอันตรายเพื่อเปิดใช้งานการติดไวรัสสี่ขั้นตอน ซึ่งใช้ประโยชน์จาก ช่องโหว่ Office Equation Editor (CVE-2017-11882) เพื่อรับการเรียกใช้โค้ดจากอีเมลของเหยื่อ, FTP และ เบราว์เซอร์ Microsoft ได้แก้ไขช่องโหว่ CVE-2017-11882 เมื่อปีที่แล้ว แต่ระบบจำนวนมากไม่ได้รับแพตช์ด้วยเหตุผลใดก็ตาม
เทคนิคปลอดมาโครที่ใช้ในการแพร่กระจายมัลแวร์นั้นมีอยู่ในไฟล์แนบที่จัดรูปแบบ .DOCX ในขณะที่ที่มาของอีเมลขยะคือบ็อตเน็ต Necurs[4] ตาม Trustwave หัวข้ออาจแตกต่างกันไป แต่ทุกคนมีความสัมพันธ์ทางการเงิน มีการสังเกตสี่เวอร์ชันที่เป็นไปได้:
- คำชี้แจงบัญชีของ TNT
- ขอใบเสนอราคา
- การแจ้งเตือนการโอนเทเล็กซ์
- SWIFT COPY สำหรับการชำระเงินคงเหลือ
SpiderLabs อนุมัติว่าไฟล์แนบที่เป็นอันตรายเกิดขึ้นพร้อมกับอีเมลขยะที่ไม่มีมาโครทุกประเภท ตามที่กล่าวไว้ ไฟล์แนบ .DOCX มีชื่อว่า “receipt.docx”
ห่วงโซ่ของเทคนิคการแสวงหาประโยชน์โดยปราศจากมาโคร
กระบวนการติดไวรัสแบบหลายขั้นตอนเริ่มต้นทันทีที่เหยื่อที่เปิดไฟล์ .DOCX หลังทริกเกอร์ออบเจ็กต์ OLE (Object Linking and Embedding) แบบฝังที่มีการอ้างอิงภายนอกไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ ด้วยวิธีนี้ แฮกเกอร์จะสามารถเข้าถึงอ็อบเจ็กต์ OLE จากระยะไกลเพื่ออ้างอิงใน document.xml.rels
นักส่งสแปมใช้ประโยชน์จากเอกสาร Word (หรือรูปแบบ .DOCX) ที่สร้างขึ้นโดยใช้ Microsoft Office 2007 เอกสารประเภทนี้ใช้รูปแบบ Open XML ซึ่งใช้เทคโนโลยีไฟล์ XML และ ZIP ผู้โจมตีพบวิธีจัดการกับเทคโนโลยีเหล่านี้ด้วยตนเองและโดยอัตโนมัติ หลังจากนั้น ขั้นตอนที่สองจะเริ่มขึ้นก็ต่อเมื่อผู้ใช้พีซีเปิดไฟล์ .DOCX ที่เป็นอันตราย เมื่อเปิดไฟล์ ไฟล์จะสร้างการเชื่อมต่อระยะไกลและดาวน์โหลดไฟล์ RTF (รูปแบบไฟล์ข้อความที่มีรูปแบบสมบูรณ์)
เมื่อผู้ใช้เปิดไฟล์ DOCX ไฟล์เอกสารระยะไกลสามารถเข้าถึงได้จาก URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc นี่เป็นไฟล์ RTF ที่ดาวน์โหลดและดำเนินการจริง
นั่นเป็นวิธีที่เทคนิคการเรียกใช้มัลแวร์ที่ไม่มีมาโครดูเหมือนเป็นแผนผัง:
- ผู้ที่อาจตกเป็นเหยื่อจะได้รับอีเมลพร้อมแนบไฟล์ .DOCX
- เขาหรือเธอคลิกสองครั้งที่สิ่งที่แนบมาและดาวน์โหลด OLE Object
- ตอนนี้ไฟล์ Doc ที่ควรจะเป็นซึ่งในความเป็นจริงแล้ว RTF จะเปิดขึ้น
- ไฟล์ DOC ใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 Office Equation Editor
- โค้ดที่เป็นอันตรายจะรันบรรทัดคำสั่ง MSHTA
- คำสั่งนี้จะดาวน์โหลดและเรียกใช้ไฟล์ HTA ซึ่งมี VBScript
- VBScript แตกสคริปต์ PowerShell
- สคริปต์ Powershell จะติดตั้งมัลแวร์ในภายหลัง
อัปเดตระบบปฏิบัติการ Windows และ Office ให้เป็นปัจจุบันอยู่เสมอเพื่อป้องกันตัวเองจากการโจมตีของมัลแวร์แบบไม่มีมาโคร
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังไม่พบวิธีปกป้องบัญชีอีเมลของผู้คนจากการโจมตีของ Necurs อาจไม่พบการป้องกันร้อยเปอร์เซ็นต์เลย คำแนะนำที่สำคัญที่สุดคือการหลีกเลี่ยงข้อความอีเมลที่น่าสงสัย หากคุณไม่ได้รอเอกสารอย่างเป็นทางการ แต่ได้รับมาอย่างไม่รู้ตัว อย่าหลงกลเคล็ดลับนี้ ตรวจสอบข้อความดังกล่าวสำหรับข้อผิดพลาดทางไวยากรณ์หรือการพิมพ์ผิด เนื่องจากเจ้าหน้าที่ทางการแทบจะไม่ทิ้งข้อผิดพลาดใดๆ ไว้ในการแจ้งเตือนอย่างเป็นทางการ
นอกจากความรอบคอบแล้ว การอัปเดต Windows และ Office ให้ทันสมัยอยู่เสมอเป็นสิ่งสำคัญ ผู้ที่ปิดใช้งานการอัปเดตอัตโนมัติเป็นเวลานานมีความเสี่ยงสูงที่จะติดไวรัสร้ายแรง ระบบและซอฟต์แวร์ที่ล้าสมัยที่ติดตั้งไว้อาจมีช่องโหว่เช่น CVE-2017-11882 ซึ่งสามารถแก้ไขได้โดยการติดตั้งการอัปเดตล่าสุดเท่านั้น