Microsoft per le organizzazioni: Come proteggere la tua rete
Nel suo annual security intelligence report, Microsoft offre i suoi consigli per bloccare gli hacker.
Microsoft ha dettagliato Marzo attacco clienti di Windows satellitari e di comunicazione settori di utilizzo “insolito, interessante tecniche” che recano le caratteristiche di APT gruppo MuddyWater.
L’azienda Office 365 ATP preso archivio (ACE), i file caricati con scoperto di recente di WinRAR difetto, CVE-2018-20250, che è ampiamente utilizzato tra gruppi di criminalità informatica e stato-nazione hacker negli ultimi mesi.
Il bug è stato co-optato per l’hacking dopo un febbraio 20 rapporto Israeliano ditta di sicurezza di Check Point ha rivelato che un dannoso file ACE potrebbe inserire malware ovunque su un PC Windows dopo essere stato estratto con WinRAR. Posizioni includono la cartella di Avvio Windows, dove il malware sarebbe eseguire automaticamente ogni riavvio.
Un mese prima del Check Point di report, WinRAR sviluppatori ha rilasciato una nuova versione che è stato eliminato il supporto per l’ASSO, perché è stato in grado di aggiornare una libreria in WinRAR chiamato Unacev2.dll che contiene una directory traversal difetto.
Tuttavia, da Marzo, quando questo attacco è stato rilevato da Microsoft, è probabile che una larga fetta del mondo 500 milioni di WinRAR utenti non avevo aggiornato alla non-ACE versione o non aveva rimosso i vulnerabili DLL.
Il MuddyWater attività del gruppo sono stati avvistati nel 2017. È noto per target di utenza, in Medio Oriente, in Europa e in USA. Il gruppo di frequente medici, fino phishing documenti di apparire come se si sta dalla sicurezza braccia di vari governi.
L’attacco dettagliate by Rex Plantado di Office 365 ATP Team di Ricerca ha utilizzato spear-phishing e-mail presumibilmente dal Ministero degli Affari Esteri (MAE) della Repubblica Islamica dell’Afghanistan. L’email chiesto “obiettivi molto specifici” per le risorse, i servizi di telecomunicazioni e mappe satellitari.
Il social engineering della campagna è stato predisposto per garantire la piena remoto compromesso di una macchina entro i limiti di WinRAR sfruttare.
Un documento di Word suggerisce all’utente di scaricare un altro documento da un OneDrive il link senza macro inclusa – una scelta fatta probabilmente per evitare il rilevamento.
Se il link viene cliccato, il download di un file di archivio con il secondo documento, questa volta con una macro dannoso. Se la vittima ignora l’avviso di protezione sulle macro, il payload del malware viene consegnato al PC.
Il documento contiene anche un ‘pagina Successiva’ il pulsante che visualizza un avviso fasullo che un certo file DLL mancanti e sostiene che il computer è necessario riavviare.
Una volta che la macro è attivata, in uno script di PowerShell per raccogliere informazioni circa il sistema di tag con un ID univoco, e invia a un server remoto. Lo script è anche il meccanismo chiave per il recupero dannoso file ACE con l’exploit CVE-2018-20250, che scende di un payload chiamato dropbox.exe.
Mentre il Check Point ha suggerito che la cartella di Avvio sarebbe in una posizione ideale per piantare il malware, Microsoft spiega che non è possibile eliminare il file conosciuti o pre-determinato SMB cartelle.
Tuttavia, in questo caso dropbox.exe è sceso per la cartella di Avvio non appena l’utente tenta di estrarre una qualsiasi delle tre JPEG file all’interno dell’archivio ACE.
La menzogna manca DLL file, e la necessità di riavviare il computer perché CVE-2018-20250 solo permette il malware per scrivere i file in una cartella specificata, ma non può essere eseguito immediatamente, spiega Plantado. Ecco perché cadere il payload nella cartella di Avvio era l’ideale, dal momento che il lancio dopo il riavvio del computer.
“Il payload dropbox.exe esegue le stesse azioni come dannoso macro componente, che aiuta a garantire che il PowerShell backdoor è in esecuzione”, spiega Plantado.
“La PowerShell backdoor potrebbe consentire a un utente malintenzionato di prendere il pieno controllo della macchina compromessa e fare una rampa di lancio per il ulteriori azioni pericolose. Esposizione e fermare gli attacchi nelle prime fasi è fondamentale nella prevenzione di ulteriori, in genere più dannoso impatto di undetected malware impianti.”
Microsoft security analista osserva che la macro dannoso utilizzato tecniche avanzate per eludere il rilevamento, compreso l’uso di Microsoft, è un motore di scripting.
Ad un certo punto, la macro viene eseguita wscript.exe per avviare lo script di PowerShell in fase di runtime.
“Lo script di PowerShell per sé non toccare il disco, rendendolo un fileless componente di attacchi a catena. Soggiorno-off-the-terra, la tecnica di utilizzare le risorse che sono già disponibili sul sistema (ad esempio, wscript.exe) per eseguire codice dannoso direttamente in memoria, è un altro modo che questo attacco tenta di eludere il rilevamento”, scrive Plantado.
Di più su Microsoft, WinRAR e di sicurezza di Windows
Critica WinRAR vulnerabilità luoghi di 500 milioni di utenti a rischio‘100 unico exploit di conteggio e’ per il suo più recente di WinRAR bug di sicurezzaWinRAR versioni rilasciate negli ultimi 19 anni, colpite da una grave falla di sicurezzaCome la virtualizzazione, la modifica di Windows application security TechRepublicMicrosoft lancia Windows Defender per Chrome e Firefox CNET
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati