Xakep #305. Многошаговые SQL-инъекции
Одна из наиболее известных тактик распространения малвари последних лет очень проста: злоумышленники хитростью вынуждают своих жертв открывать документы Microsoft Office, содержащие вредоносные макросы или OLE-объекты. Эти функции давно отключены по умолчанию и требуют отдельной активации, а об опасности включения макросов уже неплохо осведомлены даже рядовые пользователи.
Но недавно ИБ-специалисты обнаружили, что злоумышленники придумали кое-что еще. Техника атак базируется на довольно старой функции Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений Office. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel.
По сути, DDE позволяет пользователю встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники научились использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода.
Как правило, при срабатывании DDE, приложение показывает пользователю два предупреждения, которые можно увидеть на иллюстрации ниже. Причем специалисты отмечают, что второе предупреждение, информирующее об ошибке, может отображаться далеко не всегда.
По мнению экспертов, основная проблема здесь заключается в том, что пользователи, которые часто работают с различными документами и DDE, не обращают никакого внимания на эти сообщения. Такие предупреждения уже стали чем-то настолько привычным, что их закрывают в буквальном смысле не глядя.
О том, что хакеры стали эксплуатировать DDE для осуществления атак, сообщают исследователи сразу ряда компаний, среди которых SensePost и Cisco Talos. Аналитики SensePost и вовсе пишут, что пытались донести всю серьезность проблемы до разработчиков Microsoft, но те отказались признать это уязвимостью. Эксплуатация DDE для атак действительно не является уязвимостью в классическом понимании этого слова, ведь Office честно предупреждает пользователя о потенциальной опасности. Ситуация почти аналогична использованию макросов и OLE.
Стоит сказать, что DDE используют во вредоносных целях не первый год, все началось еще в 90-х, когда функция только появилась. Однако лишь весной 2017 года ИБ-специалисты заметили, что преступники решили вспомнить «хорошо забытое старое». Так, об атаках с использованием DDE первым сообщил независимый специалист, известный под псевдонимом PwnDizzle.
Теперь, в начале текущей недели, свои опасения по этому поводу озвучили вышеупомянутые компании SensePost и Cisco Talos. Еще один невидимый специалист, Дэвид Лонгнекер (David Longenecker) опубликовал инструкцию, рассказывающую о том, как обнаружить DDE-атаки с помощью Windows Event Logs. ИБ-эксперт Дидье Стивенс (Didier Stevens), в свою очередь, обнародовал правила YARA, которые должны помочь исследователям обнаруживать вредоносные документы с DDE.
Известный исследователь Кевин Бимонт (Kevin Beaumont) и вовсе обнаружил, что атаки с использованием DDE уже практикуют серьезные хакерские группы, в частности группировка FIN7, известная своими крупными атаками на финансовые организации.
Tracking Word DDE issue - so far only real threat is apparently FIN7 Group in limited targeted attacks. Others experimenting. Detection bad.
— Beaumont Porg, Esq. (@GossiTheDog) October 11, 2017