Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Un trend in crescita: i nuovi malware basati su DDE di Office | Quick Heal Security Lab
- MERCOLEDÌ 6 DICEMBRE 2017


Negli ultimi anni abbiamo visto moltissimi attacchi basati sulle macro attraverso l' Object Linking Embedding (OLE)/ file Microsoft Office. Recentemente però, gli attaccanti stanno usando differenti tecniche per diffondere i malware attraverso i file Office: usano un nuovo vettore di attacco chiamato Dynamic Data Exchange (DDE). 

DDE è una funzione autorizzata di Microsoft Office che fornisce molteplici metodi di trasferimento dei dati tra una applicazione e l'altra. Una volta che il protocollo di comunicazione è stabilito, non c'è necessità di interazione dell'utente per lo scambio dei dati tra applicazioni diverse. La funzione DDE non è limitata a Word ed Excel, ma è inclusa anche in RTF e in Outlook. 

Dettagli tecnici
Questo attacco inizia con una email di spam contenente un documento dannoso come allegato (vedi fig.1)


L'applicazione Microsoft Word (winword.exe) ad esempio, apre questo allegato ed esegue il codice DDE. L'utente visualizza quindi un prompt che lo avvisa del fatto che il documento contiene alcuni link che potrebbero riferire al recupero di dati da altri file (vedi fig.2)


Se l'utente clicca su "Yes", visualizzerà un secondo prompt che mostra le informazioni di esecuzione dei dati remoti: se di nuovo l'utente fa clic su "Yes" l'attacco avrà successo (vedi fig.3)


Se al contrario l'utente clicca su"no" nel primo o nel secondo promt, l'attacco fallirà. 

Il malware con il codice DDE esegue "cmd.exe" con PowerShell e altri codici come parametro. PowerShell scarica quindi il payload in background e lo esegue di nascosto. Il payload può contenere qualsiasi tipo di malware. La figura 4 mostra uno dei vari tipi di codice DDE. 


Per evitare l'individuazione in base alla firma, gli autori del malware usano differenti tecniche di offuscamento, tra le quali:

Tecnica di offuscamento 1
Scindere il codice DDE e il codice PowerShell in tag differenti. 


Tecnica di offuscamento 2 
Codificare il codice PowerSghell con base64


Tecnica di offuscamento 3
Codificare il codice PowerShell con un valore intero del rispettivo carattere. 


Ecco la versione decodificata del codice sopra:


La tecnica di attacco basata sul DDE è molto semplice per gli attaccanti: riteniamo verosimile la possibilità che questo tipo di attacco divverrà in futuro sempre più gettonato.

Misure di Prevenzione
  • valuta la disabilitazione di DDE quando non è in uso: per farlo vai sul pulsante di Office, seleziona Opzioni di Excel (la procedura vale anche per le altre applicazioni Office), vai su Centro Protezione, clicca su "Impostazioni Centro Protezione", vai su "Contenuto Esterno" e seleziona "Disattiva aggiornamento automatico dei collegamenti della cartella di lavoro"
  • Non scaricare/aprire allegati che arrivano da fonti sospette o indesiderate
  • Applica tutti gli aggiornamenti di sicurezza consigliati e le patch per il tuo Sistema Operativo
Indicatori di compromissione
53c1d68242de77940a0011d7d108c098
106776A1A0F1F15E17C06C23CBFE550E
31362967C1BFE285DDC5C3AB27CDC62D

Esperti redattori dell'articolo:
Aniruddha Dolas, Prashant Tilekar | Quick Heal Security Labs 



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login