Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Microsoft рассказала, как защититься от DDE-атак, которые уже используют правительственные хакеры

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
37
Microsoft рассказала, как защититься от DDE-атак, которые уже используют правительственные хакеры



В октябре 2017 года ИБ-специалисты привлекли внимание к проблеме, связанной с использованием старой технологии Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений Office. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel.

Специалисты предупреждали, что DDE, по сути, позволяет встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники могут использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода. Такая методика может стать для атакующих отличной альтернативой вредоносным макросом и Object Linking and Embedding (OLE).

Тогда свои опасения по этому поводу озвучили эксперты компаний SensePost и Cisco Talos. А еще один невидимый специалист, Дэвид Лонгнекер (David Longenecker) опубликовал инструкцию, рассказывающую о том, как обнаружить DDE-атаки с помощью Windows Event Logs. ИБ-эксперт Дидье Стивенс (Didier Stevens), в свою очередь, обнародовал правила YARA, которые должны помочь исследователям обнаруживать вредоносные документы с DDE.

Вскоре стало ясно, что специалисты не ошиблись с прогнозами. Так, один из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. Еще одна вредоносная кампания, использующая DDE, распространяет загрузчик Hancitor, который затем используется для установки банковских троянов, спайвари, вымогательского ПО и других угроз. Также специалисты Cisco Talos обнаружили, что DDE-атаки применяются в ходе вредоносной кампании, цель которой — распространение «бесфайлового» трояна DNSMessenger.

На этой неделе аналитики компании McAfee сообщили, что DDE уже взяли на вооружение и правительственные хакеры из небезызвестной группировки Fancy Bear (они же APT28, Sednit, Pawn Storm, Strontium и так далее). Аналитики пишут, что начиная с конца октября 2017 года злоумышленники используют таргетированный фишинг и распространяют среди своих жертв вредоносные документы, якобы содержащие информацию о недавней террористической атаке в Нью-Йорке.

Документы содержат встроенное поле DDE, при помощи которого на устройство пользователя проникает малварь Seduploader, отвечающая за проведение в зараженной системе предварительной разведки. Если оказывается, что жертва представляет интерес для злоумышленников, заражение переходит ко второй фазе, в ходе которой в систему доставляются вредоносы X-Agent и Sedreco.

Напомню, что с самого октября разработчики Microsoft отвечают на все предупреждения ИБ-специалистов заявлениями, что DDE – это легитимная функция, которой не требуются никакие патчи и изменения. В компании подчеркивают, что для успешного срабатывания DDE-атак пользователь должен самостоятельно отключить Protected Mode и закрыть несколько подсказок и предостережений, сообщающих об обновлении файлов из удаленных источников.

Так как атаки по-прежнему продолжаются и, по всей видимости, имеют немалую эффективность, на этой неделе компания все же опубликовала бюллетень безопасности посвященный проблеме. В документе специалисты Microsoft подробно объяснили, как нужно защищаться от DDE-атак и предотвращать их. В частности, Microsoft напомнила пользователям о том, что не стоит открывать подозрительные почтовые вложения. Также компания рассказала, как отключить работу DDE в Excel, Outlook, Publisher и Word, объяснив, что именно для этого придется поправить в реестре. Также разработчики подчеркнули, что пользователи Windows 10 Fall Creators Update защищены от подобных угроз благодаря компоненту Attack Surface Reduction, входящему в состав Windows Defender Exploit Guard.
 
Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
338.057
Сообщения
360.635
Пользователи
25.661
Новый пользователь
Mr_bittly

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Всем привет!
    Цитата
  • K (Гость) kkifkaa:
    mizaider тут есть?
    Цитата
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Здравствуйте уважаемые члены форума. Подскажите пож-та, что можно сделать если я был заблокирован якобы за: «Вы были заблокированы по следующей причине: Копирование материалов на другие ресурсы». Самое страшное, то что тебя обвиняют и не дают возможность пообщаться и разобраться в причинах. Кстати в такой ситуации может быть каждый из нас. Вот так стараешься размещаешь тут материал, а тебя без разбирательств в бан. И нет возможности обратится в тех поддержку т.к. твой аккаут заблокирован. Подскажите пож-та, как можно связаться с администрацией, чтобы была проведена проверка? Сейчас я новичок и как раз в этот день для нас заливал на форум новые курсы (один залил, второй не успел). Я сначала подумал, что какой-то запрещений материал разместил, а потом понял, что меня обвинили в том, что я не делал.
    Цитата
  • K (Гость) kkifkaa:
    mizaider ты здесь помоги пожалуйста!
    Цитата
  • mizaider @ mizaider:
    Вопрос решен.
    Цитата
  • goodness @ goodness:
    Добрый вечер уважаемые форумчане!)
    Цитата
  • goodness @ goodness:
    Вопрос к администрации: Имеется одна точка доступа wifi на квартиру, вашим форумом пользуюсь пока что только я, но хотел бы зарегистрировать и свою девушку,
    Цитата
  • goodness @ goodness:
    система нас не забанит из-за того что мы с одной точки доступа но с разных устройств?
    Цитата
  • mizaider @ mizaider:
    Не забанит
    Цитата
  • Captain @ Captain:
    Батя в здание
    Цитата
  • 13SASHA13 @ 13SASHA13:
    Цитата
  • Uggi Chat Bot:
    Uggi покинул(а) комнату.
  • M Chat Bot:
    mr_robot_i2p покинул(а) комнату.
  • Captain @ Captain:
    Батя в здание
    Цитата
  • J Chat Bot:
    joker567 покинул(а) комнату.
  • Z Chat Bot:
    ztmm покинул(а) комнату.
    Z Chat Bot: ztmm покинул(а) комнату.