Возможно, вскоре Microsoft придется пересмотреть свою позицию, по которой протокол обмена динамическими данными (Dynamic Data Exchange, DDE) в приложениях Office не нуждается в исправлениях. По данным ИБ-исследователей, злоумышленники уже пользуются этой функцией для доставки вредоносного кода на компьютеры.

В минувший четверг эксперты международной системы мониторинга SANS Internet Storm Center сообщили, что ботнет Necurs начал распространять шифровальщик Locky с помощью DDE. По словам оператора Брэда Данкена (Brad Duncan), через его руки прошло несколько десятков электронных писем из новой вредоносной кампании. К каждому спам-сообщению прилагался один из трех документов Word, распространяющих вредоносное ПО — но не с помощью макросов, которые более года оставались самым популярным способом загрузки вредоносов с удаленных серверов, а с помощью протокола DDE.

Механизм DDE, как и макросы, — вполне законная функция Office. Он позволяет встраивать в один документ — например, отчет в Word — обновляемые данные из другого — например, таблицы в Excel. С помощью DDE можно также вызывать командную строку. В новых версиях Office на смену этой функции пришла более современная технология Microsoft Object Linking and Embedding (OLE), однако DDE по-прежнему поддерживается в обеспечение совместимости с документами унаследованных форматов.

Об уязвимости DDE к атакам говорили давно — в частности, эксперты PwnDizzle в марте этого года со ссылкой на более ранние публикации. В прошлую пятницу исследователи из SensePost сообщили, что ряд атак через файлы Microsoft Office использует загрузку вредоносного ПО через DDE. О потенциальной возможности этого метода атаки SensePost уведомила Microsoft еще в августе, однако в конце сентября представители разработчика заявили, что DDE — обычная функция, и исправлять ее они не будут.

До сих пор опасность атак с использованием DDE отчасти смягчалась тем, что при попытке вызвать командную строку документ Office выводил предупреждение о запуске приложения («Удаленные данные (k calc.exe) недоступны. Запустить приложение c:\windows\system32\cmd.exe?»), которое могло насторожить пользователя. Однако эксперты SensePost сумели создать PoC-атаку, позволяющую подавить синтаксис этого сообщения.

«Второе диалоговое окно запрашивает пользователя, хочет ли он выполнить указанное приложение. С одной стороны, это сообщение можно рассматривать как уведомление системы безопасности, поскольку оно просит пользователя выполнить cmd.exe. Однако, как показывает практика, некоторая модификация командного синтаксиса позволяет это предупреждение скрыть», — пояснили в SensePost.

Атаки на основе DDE, скорее всего, останутся незамеченными антивирусом или системой предотвращения вторжений, поскольку эта функция почти наверняка находится в белом списке.

«Думаю, злоумышленники выбрали DDE именно потому, что это не макросы. К атакам на основе макросов за последние годы все привыкли. Вот преступники и решили попробовать новый подход — вдруг сработает. На мой взгляд, макросы почти наверняка эффективнее DDE, — считает Данкен. — Если в ближайшие недели нахлынет волна DDE-атак, она, скорее всего, спадет в течение нескольких месяцев».

Согласно анализу Данкена, на первом этапе атаки вложение Word через DDE загружает вредоносное ПО первой стадии — скорее всего, загрузчик Locky. Затем этот загрузчик устанавливает программу-вымогатель. Вот как Данкен описал зафиксированный трафик в блоге SANS ISC:

«По моим наблюдениям, алгоритм немного отличается от того, которым последнее время пользовались вложения, рассылаемые с ботнета Necurs. Первый HTTP-запрос возвращает строку base64, содержащую ссылки на загрузку вредоносного ПО первой стадии. По второму HTTP-запросу происходит загрузка вредоносного ПО первой стадии. Два последующих HTTP POST исходят от вредоносного ПО первой стадии и содержат строку User-Agent с данными агента обновления Windows. Поданный после этого POST-запрос возвращает двоичный код Locky. По сети код вымогателя передается в зашифрованном виде и расшифровывается только на локальном узле. Исходящего трафика от бинарного кода Locky замечено не было, только еще несколько запросов HTTP POST от вредоносного ПО первой стадии».

Вымогатель Locky шифрует файлы на локальном жестком диске и требует 0,25 биткойна за ключ. SANS опубликовал несколько индикаторов заражения, включая хэши вложений и вредоносного ПО, а также IP-адреса, участвовавшие в атаке.

«Пока я нашел только один надежный способ защиты — отключить DDE. — Чтобы сделать это, в каждом приложении Office в меню «Параметры» перейдите на вкладку «Дополнительно», прокрутите вниз к разделу «Общие» и снимите флажок «Автоматически обновлять связи при открытии», — предложил Данкен. — Это не дает сработать вредоносным документам Word. Однако участники сетевых форумов заметили, что иногда пользовательские изменения сбрасываются и флажок «Автоматически обновлять связи при открытии» может установиться сам собой».

Категории: Вредоносные программы, Спам