Necurs-спам использует DDE для доставки Locky
Возможно, вскоре Microsoft придется пересмотреть свою позицию, по которой протокол обмена динамическими данными (Dynamic Data Exchange, DDE) в приложениях Office не нуждается в исправлениях. По данным ИБ-исследователей, злоумышленники уже пользуются этой функцией для доставки вредоносного кода на компьютеры.
В минувший четверг эксперты международной системы мониторинга SANS Internet Storm Center сообщили, что ботнет Necurs начал распространять шифровальщик Locky с помощью DDE. По словам оператора Брэда Данкена (Brad Duncan), через его руки прошло несколько десятков электронных писем из новой вредоносной кампании. К каждому спам-сообщению прилагался один из трех документов Word, распространяющих вредоносное ПО — но не с помощью макросов, которые более года оставались самым популярным способом загрузки вредоносов с удаленных серверов, а с помощью протокола DDE.
Механизм DDE, как и макросы, — вполне законная функция Office. Он позволяет встраивать в один документ — например, отчет в Word — обновляемые данные из другого — например, таблицы в Excel. С помощью DDE можно также вызывать командную строку. В новых версиях Office на смену этой функции пришла более современная технология Microsoft Object Linking and Embedding (OLE), однако DDE по-прежнему поддерживается в обеспечение совместимости с документами унаследованных форматов.
Об уязвимости DDE к атакам говорили давно — в частности, эксперты PwnDizzle в марте этого года со ссылкой на более ранние публикации.
До сих пор опасность атак с использованием DDE отчасти смягчалась тем, что при попытке вызвать командную строку документ Office выводил предупреждение о запуске приложения («Удаленные данные (k calc.exe) недоступны. Запустить приложение c:\windows\system32\cmd.exe?»), которое могло насторожить пользователя. Однако эксперты SensePost сумели создать PoC-атаку, позволяющую подавить синтаксис этого сообщения.
«Второе диалоговое окно запрашивает пользователя, хочет ли он выполнить указанное приложение. С одной стороны, это сообщение можно рассматривать как уведомление системы безопасности, поскольку оно просит пользователя выполнить cmd.exe. Однако, как показывает практика, некоторая модификация командного синтаксиса позволяет это предупреждение скрыть», — пояснили в SensePost.
Атаки на основе DDE, скорее всего, останутся незамеченными антивирусом или системой предотвращения вторжений, поскольку эта функция почти наверняка находится в белом списке.
«Думаю, злоумышленники выбрали DDE именно потому, что это не макросы. К атакам на основе макросов за последние годы все привыкли. Вот преступники и решили попробовать новый подход — вдруг сработает. На мой взгляд, макросы почти наверняка эффективнее DDE, — считает Данкен. — Если в ближайшие недели нахлынет волна DDE-атак, она, скорее всего, спадет в течение нескольких месяцев».
Согласно анализу Данкена, на первом этапе атаки вложение Word через DDE загружает вредоносное ПО первой стадии — скорее всего, загрузчик Locky. Затем этот загрузчик устанавливает программу-вымогатель.
......
«Пока я нашел только один надежный способ защиты — отключить DDE. — Чтобы сделать это, в каждом приложении Office в меню «Параметры» перейдите на вкладку «Дополнительно», прокрутите вниз к разделу «Общие» и снимите флажок «Автоматически обновлять связи при открытии», — предложил Данкен. — Это не дает сработать вредоносным документам Word. Однако участники сетевых форумов заметили, что иногда пользовательские изменения сбрасываются и флажок «Автоматически обновлять связи при открытии» может установиться сам собой».
https://threatpost.ru/necurs-based-dde-attacks-now-spreading-locky-ransomware/22952/
В минувший четверг эксперты международной системы мониторинга SANS Internet Storm Center сообщили, что ботнет Necurs начал распространять шифровальщик Locky с помощью DDE. По словам оператора Брэда Данкена (Brad Duncan), через его руки прошло несколько десятков электронных писем из новой вредоносной кампании. К каждому спам-сообщению прилагался один из трех документов Word, распространяющих вредоносное ПО — но не с помощью макросов, которые более года оставались самым популярным способом загрузки вредоносов с удаленных серверов, а с помощью протокола DDE.
Механизм DDE, как и макросы, — вполне законная функция Office. Он позволяет встраивать в один документ — например, отчет в Word — обновляемые данные из другого — например, таблицы в Excel. С помощью DDE можно также вызывать командную строку. В новых версиях Office на смену этой функции пришла более современная технология Microsoft Object Linking and Embedding (OLE), однако DDE по-прежнему поддерживается в обеспечение совместимости с документами унаследованных форматов.
Об уязвимости DDE к атакам говорили давно — в частности, эксперты PwnDizzle в марте этого года со ссылкой на более ранние публикации.
В прошлую пятницу исследователи из SensePost сообщили, что ряд атак через файлы Microsoft Office использует загрузку вредоносного ПО через DDE. О потенциальной возможности этого метода атаки SensePost уведомила Microsoft еще в августе, однако в конце сентября представители разработчика заявили, что DDE — обычная функция, и исправлять ее они не будут.Dynamic Data Exchange
DDE (dynamic data exchange) is a semi-legacy Windows feature used for displaying data from external data sources in your current document. Sounds reasonable enough right? Well the issue with this functionality is that it allows you to not just call external documents but also processes and you can supply command line arguments too. So another very hackable feature.
The formula below can be used to test in Excel, this works in both xls and xlsx:
=cmd|'/c calc'!A0
Remember that as well as =, Excel also supports the use of + - @ characters at the start of a formula.
You can also view/edit the DDE XML directly by opening your document with 7zip:
<ddeLink xmlns:r="хттп://schemas.openxmlformats.org/officeDocument/2006/relationships"
ddeService="cmd" ddeTopic="/c calc">
<ddeItems>
<ddeItem name="A0" advise="1"/>
<ddeItem name="StdDocumentName" ole="1" advise="1"/>
</ddeItems></ddeLink>
A real-world example exploiting this issue can be found below:
https://sensepost.com/blog/2016/powershell-c-sharp-and-dde-the-power-within/
It's worth mentioning that I couldn't find a way to execute DDE in Word or Powerpoint. I'd be interested to know if this is possible or not.
До сих пор опасность атак с использованием DDE отчасти смягчалась тем, что при попытке вызвать командную строку документ Office выводил предупреждение о запуске приложения («Удаленные данные (k calc.exe) недоступны. Запустить приложение c:\windows\system32\cmd.exe?»), которое могло насторожить пользователя. Однако эксперты SensePost сумели создать PoC-атаку, позволяющую подавить синтаксис этого сообщения.
«Второе диалоговое окно запрашивает пользователя, хочет ли он выполнить указанное приложение. С одной стороны, это сообщение можно рассматривать как уведомление системы безопасности, поскольку оно просит пользователя выполнить cmd.exe. Однако, как показывает практика, некоторая модификация командного синтаксиса позволяет это предупреждение скрыть», — пояснили в SensePost.
Атаки на основе DDE, скорее всего, останутся незамеченными антивирусом или системой предотвращения вторжений, поскольку эта функция почти наверняка находится в белом списке.
«Думаю, злоумышленники выбрали DDE именно потому, что это не макросы. К атакам на основе макросов за последние годы все привыкли. Вот преступники и решили попробовать новый подход — вдруг сработает. На мой взгляд, макросы почти наверняка эффективнее DDE, — считает Данкен. — Если в ближайшие недели нахлынет волна DDE-атак, она, скорее всего, спадет в течение нескольких месяцев».
Согласно анализу Данкена, на первом этапе атаки вложение Word через DDE загружает вредоносное ПО первой стадии — скорее всего, загрузчик Locky. Затем этот загрузчик устанавливает программу-вымогатель.
......
«Пока я нашел только один надежный способ защиты — отключить DDE. — Чтобы сделать это, в каждом приложении Office в меню «Параметры» перейдите на вкладку «Дополнительно», прокрутите вниз к разделу «Общие» и снимите флажок «Автоматически обновлять связи при открытии», — предложил Данкен. — Это не дает сработать вредоносным документам Word. Однако участники сетевых форумов заметили, что иногда пользовательские изменения сбрасываются и флажок «Автоматически обновлять связи при открытии» может установиться сам собой».
https://threatpost.ru/necurs-based-dde-attacks-now-spreading-locky-ransomware/22952/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
В рамках декабрьского обновления за декабрь 2017 года Microsoft отправила обновление Office, которое отключает функцию DDE в приложениях Word, после того как несколько вредоносных кампаний злоупотребляют этой функцией для установки вредоносных программ.
DDE означает Dynamic Data Exchange, и это функция Office, которая позволяет приложению Office загружать данные из других приложений Office. Например, файл Word может обновлять таблицу, вытаскивая данные из файла Excel каждый раз, когда открывается файл Word.
DDE - это старая функция, которую Microsoft заменила с помощью нового инструментария Object Linking and Embedding (OLE), но DDE по-прежнему поддерживается приложениями Office.
Функция DDE используется для установки вредоносного ПО
В октябре 2017 года исследователи безопасности из SensePost опубликовали учебное пособие о том, как можно использовать оружие DDE и злоупотреблять им для распространения вредоносного ПО.
Даже если DDE злоупотребляли распространением вредоносного ПО в 90-х годах, новые методы, описанные в учебнике SensePost, были быстро приняты распространителями вредоносных программ, сначала FIN7, группой хакеров, специализирующихся на ударах финансовых организаций, а затем дистрибьюторами мирских вредоносных программ ,
В то время Microsoft не рассматривала DDE уязвимость в пакете Office, но заявила, что это просто еще одна законная функция, которой злоупотребляют для распространения вредоносного ПО.
Причина, по которой Microsoft не рассматривала атаки DDE как проблемы безопасности, - это то, что Office показывает предупреждения перед открытием файлов. Это еще один случай, когда авторы вредоносных программ нашли творческий способ злоупотребления законной функцией, например, с помощью OLE и макросов, для которых Microsoft также предупреждает пользователей перед запуском.
https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-dde-feature-in-word-to-prevent-further-malware-attacks/