W jaki sposób cyberprzestępcy wykorzystują Microsoft Word?

26-02-2019, 18:49

Wykorzystywanie Microsoft Word do rozpowszechniania złośliwego oprogramowania jest znaną taktyką stosowaną przez przestępców. Często do wykonania cyberataku wystarczą im jedynie funkcje, które ów program posiada.

Microsoft Word to jeden z najbardziej rozpoznawalnych edytorów tekstu, z którego aktualnie korzysta ponad 100 milionów użytkowników komercyjnych oraz ponad 27 milionów użytkowników domowych i mobilnych. Do roku 1994 Microsoft Word zdobył 90% rynku edytorów tekstu, stając się niezbędnym wyposażeniem wielu komputerów. Wprowadzenie makr, zwanych także VBA (Visual Basic for Applications) dało użytkownikom możliwości i zapewniło elastyczność niezbędną do tworzenia spersonalizowanych rozwiązań. VBA jest w stanie uruchamiać inne aplikacje na komputerze głównym lub tworzy okna dialogowe. Z tym wiążą się daleko idące skutki: twórcy złośliwego oprogramowania są w stanie stworzyć plik z dokumentem wyposażonym w funkcję pobrania i wykonania pliku w chwili, gdy jest on otwarty, a użytkownik zezwolił na makra.

Inną opcją jest takie ustawienie makr, by uruchamiały PowerShell – język skryptowy utworzony na Microsoft.NET. Takiego wyboru często dokonują administratorzy systemów, ponieważ jest to dla nich najskuteczniejszy sposób zarządzania komputerami z Microsoftem. Jednak jako że PowerShell posiada dostęp do Windows Management Instrumentation (WMI), Active Directory Service Interface (ADSI) oraz Win32 Application Programming Interface (API), testerzy odkryli potencjał prowadzący do tworzenia takich narzędzi penetrujących, jak Nishang bądź narzędzi Post Exploitation – na przykład Empire.

Wykorzystanie luk

Gdy twórcy złośliwego oprogramowania stwierdzą, że skryptowanie nie wystarczy, mogą z łatwością pójść o krok dalej, wykorzystując luki, które sami odkryli bądź opierając się na 46 lukach w Microsoft Word podanych do publicznej wiadomości, przy 22 przypadkach wykonania kodu w 2018 roku i 10 w 2017 roku. Należy zwrócić uwagę, iż liczby te nie zawierają nieujawnionych luk, którym nie przypisano jeszcze oznaczenia CVE (Common Vulnerabilities and Exposure).

Jednak twórcy złośliwego oprogramowania nie muszą przez cały czas opierać się na exploitach. Zagnieżdżenie dokumentu w innym dokumencie lub zapisanie go w innym formacie obsługiwanym przez Microsoft Word (np. Single File Web Page (.mht) ) pomoże ukryć złośliwe makro.

Baza aktywnych użytkowników, obecność funkcji natywnych, które można odwrócić, czynne zainteresowanie tematem luk w oprogramowaniu, jak również łatwość zamaskowania złośliwego skryptu makro: za to wszystko twórcy złośliwego oprogramowania kochają MS Word. Takie połączenie umożliwia takie rozlokowanie zagrożeń, by użytkownicy z dużym prawdopodobieństwem się na nie natknęli.

Złośliwe makra nadal przodują wśród powszechnych technik wykorzystywanych w dokumentach pakietu Office, mimo że pomiędzy drugą połową 2017 roku a pierwszą połową 2018 roku zaobserwowano gwałtowny spadek w tym zakresie. Zakładając, że makra są domyślnie dezaktywowane (w przypadku Microsoft Excel 2007) oraz że trudno jest zachęcić ofiary do ich ponownego włączenia, przestępcy odchodzą od tradycyjnych ataków w oparciu o makra, opowiadając się za nowymi, skuteczniejszymi technikami. Prawidłowość ta widoczna jest w ciągłym wzroście liczby ataków opartych na Exploitach i PowerShell, przy 99-procentowym wzroście dla Exploitów od 98 na początku 2017 roku do 20 649 na koniec roku 2018.

Popularne exploity

W artykule zostaną opisane dwa popularne exploity - CVE-2012-0158 oraz CVE-2017-11882. Pierwszy z nich ma już 6 lat, podczas gdy drugi to stosunkowo nowa luka.

CVE-2012-0158 zaobserwowano już w październiku 2014 przy rozpowszechnianiu narzędzia RAT (Remote Access Tool). Było to wtedy dość bezpośrednie podejście, jednak twórcy złośliwego oprogramowania zmienili sposób działania poprzez umieszczanie złośliwych kodów w obiektach pasków narzędzi.

CVE-2012-0158 opiera się na zawierającej luki wersji MSCOMCTL.OCX, odpowiedzialnej za kontrole ActiveX. Ta kluczowa aplikacja wykorzystywana jest przez kilka aplikacji Microsoft, takich jak Microsoft Internet Explorer i Microsoft Office, w których umożliwia danej aplikacji korzystanie z funkcji innej aplikacji.

Atak ten nazywany jest Buffer Overflow. Rozpoczyna się on w momencie, gdy pewna część pamięci zostaje nadpisana złośliwym kodem, a następnie wykonana. W ten sposób twórcy złośliwego oprogramowania mają możliwość wykonywania standardowych poleceń na komputerze ofiary wyposażonym w wersję zawierającą luki pozostając niezauważonymi.

Złośliwe równania

CVE-2017-11882 plasuje się na drugim miejscu i bazuje na Microsoft Equation 3.0 umożliwiającym użytkownikowi tworzenie równań przy pomocy powszechnej notacji matematycznej. Umieszczają obiekt Microsoft Equation 3.0 w dokumencie, użytkownicy mogą tworzyć takie równania, jak na przykład (x+a)^n=∑_(k=0)^n▒〖(n¦k) x^k a^(n-k) 〗, co trudno zrobić korzystając ze standardowych czcionek Microsoft Word.

Dalszy schemat pozostaje dość przewidywalny: twórcy złośliwego oprogramowania rozpoczynają od wysłania wiadomości email zawierającej przekonujące argumenty, które sprawiają, że użytkownicy otwierają złośliwy załącznik. W tym przypadku podają się za pracowników H&B Wire Fabrications ltd. i informują użytkowników o dostępnym dla nich dokumencie przekazu pieniężnego. Dokument do złudzenia przypomina fakturę, jednak podejrzane wydaje się zawarte w nim równanie, które nie ma żadnej wartości. Następnie złośliwy dokument uruchamia linijkę poleceń uruchamiającą msiexec.exe, które pobiera i podstępem instaluje złośliwe połączenie z komputerem ofiary – „tylne drzwi”.

Takie rozwiązanie to jeden z najczęściej używanych podstępów z uwagi na mnogość zastosowań dostępnych za jego pośrednictwem. Gdy zostanie ono wdrożone, może być wykorzystywane do ogromnej ilości różnych działań, takich jak pobieranie dodatkowego złośliwego oprogramowania, filtrowanie interesujących plików, dostęp do zasobów sieci i wielu innych.

Użytkownicy przeprowadzający regularne aktualizacje swoich komputerów nie muszą się aż tak bardzo martwić, ponieważ do walki z CVE-2012-0158 Microsoft wydał łatę MS12-027, a CVE-2017-11882 naprawiono w listopadzie 2017. Jednak skala przykładów sugeruje, że twórcy złośliwego oprogramowania zdaje sobie sprawę z faktu, iż większość ofiar nie przeprowadza aktualizacji systemów i korzystanie z luk dla kluczowych komponentów Windowsa to dla nich odpowiednie działanie.

Przeanalizujmy przykład Microsoft Equation 3.0. Tę funkcję można usunąć bez wpływu na komputer użytkownika, podczas gdy usunięcie MSCOMCTL.OCX może stanowić problem, ponieważ inne aplikacje systemu Windows, takie jak na przykład Microsoft Internet Explorer, korzystają z tej funkcji. Nawet sam Microsoft usunął Microsoft Equation 3.0 na rzecz wbudowanego edytora równań i symboli, wprowadzonego wraz z publiczną aktualizacją w styczniu 2018. W ten sposób ataki z wykorzystaniem CVE-2017-11882 stały się nieskuteczne.

Jak sobie radzić?

Mimo że Microsoft Word jest potencjalnie narażony na ataki różnego typu, nie oznacza to wcale, że powinniśmy się go pozbyć. Użytkownicy mają możliwość skutecznej ochrony, stosując się do następujących prostych zasad:

  • Nie należy aktywować makr, ActiveX, czcionek, edytorów formuł kodeków wtedy, gdy nie jest to niezbędne. Mamy możliwość wyłączenia tych funkcji za pośrednictwem Trust Center dostępnego w Opcjach. Takie działanie możliwe jest poprzez takie produkty Microsoft Office jak Excel i PowerPoint.
  • Jeśli korzystanie z ActiveX bądź makr jest niezbędne, należy upewnić się, że opcja powiadomień została włączona. W ten sposób będziemy otrzymywać powiadomienia w przypadku, gdy dla danego dokumentu wymagane są dodatkowe zgody.
  • Jako że twój komputer to ostatnia linia obrony, koniecznie zaopatrz się w rozwiązanie zabezpieczające.
  • Ponadto zaleca się przeprowadzanie backup ważnych plików na wypadek przechwycenia dostępu do komputera przez nieupoważnione osoby. Odpowiednim rozwiązaniem jest backup lokalny lub typu off-site.
  • Instaluj wszystkie aktualizacje oprogramowania, ponieważ na większość luk wykorzystywanych przez twórców złośliwego oprogramowania stworzone zostały łaty. To jedna z najważniejszych lekcji, jakie wynieśliśmy po atakach ransomware w 2017 roku.
  • Nie otwieraj załączników ani nie klikaj w linki z nieznanych źródeł. W ten sposób rozprzestrzeniają się na przykład konie trojańskie atakujące bankowość internetową (np. Emotet) lub takie złośliwe oprogramowanie typu Ransomware, jak WannaCry.
  • Na koniec: orientuj się w temacie i bądź ostrożny. Pamiętaj, że użytkownicy są najsłabszym ogniwem wszystkich systemów, a twórcy złośliwego oprogramowania doskonale zdają sobie z tego sprawę. Najlepsze polityki czy technologie ochronne okazują się bezużyteczne, gdy je ignorujemy lub dezaktywujemy.

Źródło: G DATA


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Czerwiec 2019»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930