Kötü amaçlı yazılım yayan Word belgesi ekleri artık Makroları etkinleştirmek istemiyor
Uzun yıllar boyunca, kötü amaçlı ekleri olan spam e-posta, kötü amaçlı yazılımların %93'ünü çalıştıran yöntemdir.[1] son birkaç yıldır. Trustwave SpiderLabs'ın en son haberlerine bakılırsa[2] Araştırmacılar, görünüşe göre kötü amaçlı yazılımların, özellikle Truva Atı, Casus Yazılım, Keylogger'lar, Solucanlar, ve Ransomware, ayrıca insanların kaç tane kötü amaçlı e-posta eki açacağına bağlı olacaktır. Bununla birlikte, bilgisayar korsanları önemli bir değişiklik sunacaklar - bundan sonra insanlar spam alabilir Makro çalıştırma gereksinimi olmadan kötü amaçlı Word Belgesi, Excel veya PowerPoint ekleri ile senaryo. Daha önceki kötü amaçlı yazılımlar yalnızca potansiyel kurban Makroları etkinleştirdiğinde yürütüldüyse,[3] şimdi sadece bir e-posta ekine çift tıklayarak etkinleştirilecek.
Makrosuz teknik zaten kullanılıyor
Araştırmacılar bunu ancak Şubat ayının başında tespit edebilmiş olsalar da, öyle görünüyor ki, Makrosuz teknoloji çok daha erken piyasaya sürüldü ve potansiyel kurbanlar zaten onları aldı.
Bu yeni Makro içermeyen spam kampanyası, kötü amaçlı Word eklerini kullanır, dört aşamalı enfeksiyonu etkinleştirir ve bu Office Denklem Düzenleyicisi güvenlik açığı (CVE-2017-11882) kurbanın e-postasından, FTP'sinden ve tarayıcılar. Microsoft, geçen yıl CVE-2017-11882 güvenlik açığını zaten yamalamıştı, ancak birçok sistem herhangi bir nedenle yamayı almadı.
Kötü amaçlı yazılımları yaymak için kullanılan Makro içermeyen teknik, .DOCX biçimli bir ekin doğasında bulunurken, spam e-postanın kaynağı Necurs botnet'tir.[4] Trustwave'e göre konu değişkenlik gösterebilir ancak hepsinin bir mali ilişkisi var. Dört olası versiyon fark edildi:
- TNT HESAP TABLOSU
- Teklif Talebi
- Teleks Transfer Bildirimi
- BAKİYE ÖDEME İÇİN SWIFT KOPYA
SpiderLabs, kötü amaçlı ekin her tür Makrosuz spam e-postayla çakıştığını onayladı. Onlara göre, .DOCX eki “receipt.docx” olarak adlandırılır.
Makro içermeyen sömürü tekniği zinciri
Çok aşamalı enfeksiyon süreci, potansiyel kurban .DOCX dosyasını açar açmaz başlar. İkincisi, bilgisayar korsanlarının sunucularına harici referanslar içeren gömülü bir OLE (Nesne Bağlama ve Gömme) nesnesini tetikler. Bu şekilde, bilgisayar korsanları, document.xml.rels'de başvurulacak OLE nesnelerine uzaktan erişim elde eder.
Spam gönderenler, Microsoft Office 2007 kullanılarak oluşturulmuş Word (veya .DOCX biçimli) belgelerinden yararlanır. Bu tür belgeler, XML ve ZIP arşiv teknolojilerine dayanan Açık XML Formatını kullanır. Saldırganlar bu teknolojileri hem manuel hem de otomatik olarak manipüle etmenin yolunu buldular. Bundan sonra, ikinci aşama yalnızca PC kullanıcısı kötü amaçlı .DOCX dosyasını açtığında başlar. Dosya açıldığında uzak bağlantı kurar ve bir RTF (zengin metin dosyası formatı) dosyası indirir.
Kullanıcı DOCX dosyasını açtığında, şu URL'den bir uzak belge dosyasına erişilmesine neden olur: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Bu aslında indirilen ve yürütülen bir RTF dosyasıdır.
Makrosuz kötü amaçlı yazılım yürütme tekniği şematik olarak şöyle görünür:
- Potansiyel bir kurban, ekli bir .DOCX dosyası içeren bir e-posta alır.
- Eke çift tıklar ve bir OLE Nesnesi indirir.
- Şimdi gerçekte RTF olan varsayılan Doc dosyası sonunda açılır.
- DOC dosyası, CVE-2017-11882 Office Equation Editor güvenlik açığından yararlanır.
- Kötü amaçlı kod, bir MSHTA komut satırı çalıştırır.
- Bu komut, VBScript içeren bir HTA dosyasını indirir ve yürütür.
- VBScript, bir PowerShell betiğini açar.
- Powershell betiği daha sonra kötü amaçlı yazılımı yükler.
Kendinizi Makrosuz kötü amaçlı yazılım saldırılarından korumak için Windows işletim sistemini ve Office'i güncel tutun
Siber güvenlik uzmanları, insanların e-posta hesaplarını Necurs saldırılarından korumanın bir yolunu henüz bulamadı. Muhtemelen yüzde yüz koruma hiç bulunmayacaktır. En önemli tavsiye, şüpheli e-posta mesajlarından uzak durmaktır. Resmi bir belge beklemiyorsanız, ancak bir anda bir belge alıyorsanız, bu numaraya kanmayın. Bu tür mesajları dilbilgisi veya yazım hatası açısından araştırın çünkü resmi makamlar resmi bildirimlerinde neredeyse hiç hata bırakmayacaklardır.
Dikkatli olmanın yanı sıra, Windows ve Office'i güncel tutmak önemlidir. Otomatik güncellemeleri uzun süre devre dışı bırakanlar, ciddi virüs enfeksiyonları açısından yüksek risk altındadır. Üzerinde yüklü olan eski sistem ve yazılımlar, yalnızca en son güncellemeler yüklenerek düzeltilebilen CVE-2017-11882 gibi güvenlik açıklarına sahip olabilir.