CHKLST.RU

Necurs-спам использует DDE для доставки Locky

отредактировано Ноябрь 2017 Раздел: Уязвимости систем и приложений
Возможно, вскоре Microsoft придется пересмотреть свою позицию, по которой протокол обмена динамическими данными (Dynamic Data Exchange, DDE) в приложениях Office не нуждается в исправлениях. По данным ИБ-исследователей, злоумышленники уже пользуются этой функцией для доставки вредоносного кода на компьютеры.

В минувший четверг эксперты международной системы мониторинга SANS Internet Storm Center сообщили, что ботнет Necurs начал распространять шифровальщик Locky с помощью DDE. По словам оператора Брэда Данкена (Brad Duncan), через его руки прошло несколько десятков электронных писем из новой вредоносной кампании. К каждому спам-сообщению прилагался один из трех документов Word, распространяющих вредоносное ПО — но не с помощью макросов, которые более года оставались самым популярным способом загрузки вредоносов с удаленных серверов, а с помощью протокола DDE.

Механизм DDE, как и макросы, — вполне законная функция Office. Он позволяет встраивать в один документ — например, отчет в Word — обновляемые данные из другого — например, таблицы в Excel. С помощью DDE можно также вызывать командную строку. В новых версиях Office на смену этой функции пришла более современная технология Microsoft Object Linking and Embedding (OLE), однако DDE по-прежнему поддерживается в обеспечение совместимости с документами унаследованных форматов.

Об уязвимости DDE к атакам говорили давно — в частности, эксперты PwnDizzle в марте этого года со ссылкой на более ранние публикации.
Dynamic Data Exchange

DDE (dynamic data exchange) is a semi-legacy Windows feature used for displaying data from external data sources in your current document. Sounds reasonable enough right? Well the issue with this functionality is that it allows you to not just call external documents but also processes and you can supply command line arguments too. So another very hackable feature.

The formula below can be used to test in Excel, this works in both xls and xlsx:

=cmd|'/c calc'!A0

Remember that as well as =, Excel also supports the use of + - @ characters at the start of a formula.
You can also view/edit the DDE XML directly by opening your document with 7zip:

<ddeLink xmlns:r="хттп://schemas.openxmlformats.org/officeDocument/2006/relationships"
ddeService="cmd" ddeTopic="/c calc">
<ddeItems>
<ddeItem name="A0" advise="1"/>
<ddeItem name="StdDocumentName" ole="1" advise="1"/>
</ddeItems></ddeLink>

A real-world example exploiting this issue can be found below:
https://sensepost.com/blog/2016/powershell-c-sharp-and-dde-the-power-within/
It's worth mentioning that I couldn't find a way to execute DDE in Word or Powerpoint. I'd be interested to know if this is possible or not.
В прошлую пятницу исследователи из SensePost сообщили, что ряд атак через файлы Microsoft Office использует загрузку вредоносного ПО через DDE. О потенциальной возможности этого метода атаки SensePost уведомила Microsoft еще в августе, однако в конце сентября представители разработчика заявили, что DDE — обычная функция, и исправлять ее они не будут.

До сих пор опасность атак с использованием DDE отчасти смягчалась тем, что при попытке вызвать командную строку документ Office выводил предупреждение о запуске приложения («Удаленные данные (k calc.exe) недоступны. Запустить приложение c:\windows\system32\cmd.exe?»), которое могло насторожить пользователя. Однако эксперты SensePost сумели создать PoC-атаку, позволяющую подавить синтаксис этого сообщения.

«Второе диалоговое окно запрашивает пользователя, хочет ли он выполнить указанное приложение. С одной стороны, это сообщение можно рассматривать как уведомление системы безопасности, поскольку оно просит пользователя выполнить cmd.exe. Однако, как показывает практика, некоторая модификация командного синтаксиса позволяет это предупреждение скрыть», — пояснили в SensePost.

Атаки на основе DDE, скорее всего, останутся незамеченными антивирусом или системой предотвращения вторжений, поскольку эта функция почти наверняка находится в белом списке.

«Думаю, злоумышленники выбрали DDE именно потому, что это не макросы. К атакам на основе макросов за последние годы все привыкли. Вот преступники и решили попробовать новый подход — вдруг сработает. На мой взгляд, макросы почти наверняка эффективнее DDE, — считает Данкен. — Если в ближайшие недели нахлынет волна DDE-атак, она, скорее всего, спадет в течение нескольких месяцев».

Согласно анализу Данкена, на первом этапе атаки вложение Word через DDE загружает вредоносное ПО первой стадии — скорее всего, загрузчик Locky. Затем этот загрузчик устанавливает программу-вымогатель.
......
«Пока я нашел только один надежный способ защиты — отключить DDE. — Чтобы сделать это, в каждом приложении Office в меню «Параметры» перейдите на вкладку «Дополнительно», прокрутите вниз к разделу «Общие» и снимите флажок «Автоматически обновлять связи при открытии», — предложил Данкен. — Это не дает сработать вредоносным документам Word. Однако участники сетевых форумов заметили, что иногда пользовательские изменения сбрасываются и флажок «Автоматически обновлять связи при открытии» может установиться сам собой».

https://threatpost.ru/necurs-based-dde-attacks-now-spreading-locky-ransomware/22952/
Тэги темы:

Комментарии

  • отредактировано Декабрь 2017 PM
    Microsoft отключает функцию DDE в Word, чтобы предотвратить дальнейшие атаки вредоносных программ
    As part of the December 2017 Patch Tuesday, Microsoft has shipped an Office update that disables the DDE feature in Word applications, after several malware campaigns have abused this feature to install malware.

    DDE stands for Dynamic Data Exchange, and this is an Office feature that allows an Office application to load data from other Office applications. For example, a Word file can update a table by pulling data from an Excel file every time the Word file is opened.

    DDE is an old feature, which Microsoft has superseded via the newer Object Linking and Embedding (OLE) toolkit, but DDE is still supported by Office applications.

    В рамках декабрьского обновления за декабрь 2017 года Microsoft отправила обновление Office, которое отключает функцию DDE в приложениях Word, после того как несколько вредоносных кампаний злоупотребляют этой функцией для установки вредоносных программ.

    DDE означает Dynamic Data Exchange, и это функция Office, которая позволяет приложению Office загружать данные из других приложений Office. Например, файл Word может обновлять таблицу, вытаскивая данные из файла Excel каждый раз, когда открывается файл Word.

    DDE - это старая функция, которую Microsoft заменила с помощью нового инструментария Object Linking and Embedding (OLE), но DDE по-прежнему поддерживается приложениями Office.
    DDE feature abused to install malware

    In October 2017, security researchers from SensePost published a tutorial on how the DDE feature could be weaponized and abused to distribute malware.

    Even if DDE has been abused to distribute malware in the '90s, the new methods explained in the SensePost tutorial were quickly adopted by malware distributors, first by FIN7, a group of hackers specialized in hitting financial organizations, and then by distributors of mundane malware.

    At the time, Microsoft did not consider DDE a vulnerability in the Office suite but said it was just another legitimate feature abused to distribute malware.

    The reason why Microsoft did not consider DDE attacks to be security issues is that Office shows warnings before opening the files. This is just another case where malware authors have found a creative way of abusing a legitimate feature, like with OLE and macros, for which Microsoft also warns users before running.

    Функция DDE используется для установки вредоносного ПО

    В октябре 2017 года исследователи безопасности из SensePost опубликовали учебное пособие о том, как можно использовать оружие DDE и злоупотреблять им для распространения вредоносного ПО.

    Даже если DDE злоупотребляли распространением вредоносного ПО в 90-х годах, новые методы, описанные в учебнике SensePost, были быстро приняты распространителями вредоносных программ, сначала FIN7, группой хакеров, специализирующихся на ударах финансовых организаций, а затем дистрибьюторами мирских вредоносных программ ,

    В то время Microsoft не рассматривала DDE уязвимость в пакете Office, но заявила, что это просто еще одна законная функция, которой злоупотребляют для распространения вредоносного ПО.

    Причина, по которой Microsoft не рассматривала атаки DDE как проблемы безопасности, - это то, что Office показывает предупреждения перед открытием файлов. Это еще один случай, когда авторы вредоносных программ нашли творческий способ злоупотребления законной функцией, например, с помощью OLE и макросов, для которых Microsoft также предупреждает пользователей перед запуском.

    https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-dde-feature-in-word-to-prevent-further-malware-attacks/
Войдите или Зарегистрируйтесь чтобы комментировать.