Microsoft pour les organisations: Comment sécuriser votre réseau
Dans son rapport annuel rapport de renseignement de sécurité, Microsoft offre ses meilleurs conseils pour bloquer les pirates.
Microsoft a détaillé un Mars attaque sur les clients Windows dans le par satellite et de la communication à l’aide de “inhabituel, techniques intéressantes” qui portent la marque d’APT groupe MuddyWater.
La société Office 365 de l’ATP ramassé archive (ACE) fichiers chargés avec la récente découverte d’un WinRAR faille CVE-2018-20250, qui s’est largement répandue parmi la cybercriminalité groupes et de l’état-nation pirates au cours des derniers mois.
Le bug a été co-opté pour le piratage après le 20 février, le rapport de l’israeli entreprise de sécurité Check Point a révélé qu’un malveillant ACE fichier pourrait placer les logiciels malveillants n’importe où sur un PC Windows après avoir été extrait par WinRAR. Sites comprennent le dossier de Démarrage de Windows, où les logiciels malveillants exécuter automatiquement à chaque démarrage du système.
Un mois avant le Check-Point du rapport, WinRAR développeurs de sortir une nouvelle version qui a chuté de soutien pour ACE, car il était impossible de mettre à jour une bibliothèque dans WinRAR appelé Unacev2.dll qui contenait une traversée de répertoire par défaut.
Cependant, en Mars, lors de cette attaque a été détectée par Microsoft, il est probable qu’une grande partie du monde 500 millions de WinRAR utilisateurs n’avais pas mis à jour pour les non-ACE version ou ne l’avait pas retiré les plus vulnérables de la DLL.
Le MuddyWater activités du groupe ont d’abord été repéré en 2017. Il est connu pour cibler les utilisateurs au Moyen-Orient, l’Europe et les usa. Le groupe fréquemment les médecins jusqu’phishing documents apparaissent comme si elles sont de sécurité des armes de différents gouvernements.
L’attaque détaillée par Rex Plantado de l’Office 365 ATP Équipe de Recherche a utilisé spear-phishing e-mail soi-disant de la le Ministère des Affaires Étrangères (MAE) de la République Islamique d’Afghanistan. L’e-mail a demandé à “très cibles spécifiques” pour les ressources, les services de télécommunications par satellite, et des cartes.
L’ingénierie sociale la campagne a été conçu pour assurer la pleine distance compromission d’une machine dans les limites de l’WinRAR exploiter.
Un document Word joint suggère à l’utilisateur de télécharger un document à partir d’un OneDrive lien avec aucune des macros inclus – un choix probablement fait pour éviter la détection.
Si le lien est cliqué, il télécharge un fichier d’archive avec le deuxième document Word, cette fois avec une macro malveillant. Si la victime ignore l’avertissement de sécurité concernant les macros, les logiciels malveillants de charge utile est livré à l’ordinateur.
Le document contient également une ‘page Suivante’ un bouton qui affiche un faux message d’avertissement qu’un certain fichier DLL est manquante et les revendications de l’ordinateur doit redémarrer.
Une fois la macro est activé, un script PowerShell recueille des informations sur le système, l’étiquette avec un ID unique, et l’envoie à un serveur distant. Le script est également le principal mécanisme de l’extraction de l’malveillants ACE fichier avec l’exploit CVE-2018-20250, qui tombe d’une charge utile appelé dropbox.exe.
Tandis que Check Point a suggéré que le dossier de Démarrage serait un lieu idéal pour planter les logiciels malveillants, Microsoft indique qu’il est possible de déposer le fichier connues ou pré-déterminé SMB dossiers.
Toutefois, dans ce cas dropbox.exe est tombé dans le dossier de Démarrage dès que l’utilisateur tente d’en extraire de trois fichiers JPEG sein de l’ACE archive.
Le mensonge manque un fichier DLL et le besoin de redémarrer l’ordinateur est parce que CVE-2018-20250 permet uniquement les logiciels malveillants écrire des fichiers vers un dossier spécifié, mais il ne peut pas exécuter immédiatement, explique Plantado. C’est pourquoi supprimer la charge dans le dossier de Démarrage est idéal, car il sera lancé après le redémarrage de l’ordinateur.
“La charge utile dropbox.exe effectue les mêmes actions que la macro malveillant composant, ce qui permet de s’assurer que le PowerShell backdoor est en cours d’exécution”, explique Plantado.
“Le PowerShell backdoor pourrait permettre à un attaquant distant de prendre le contrôle complet de la machine compromise et d’en faire une rampe de lancement pour plus d’actions malveillantes. Exposer et à l’arrêt des attaques contre les premiers stades est essentiel dans la prévention supplémentaires, généralement plus d’impact désastreux des programmes malveillants inconnus implants.”
La sécurité de Microsoft analyste note que la macro malveillant utilisé des techniques de pointe pour échapper à la détection, y compris l’utilisation de Microsoft propre moteur de script.
À un moment, la macro s’exécute wscript.exe pour lancer le script PowerShell au moment de l’exécution.
“Le script PowerShell ne touche pas le disque, en faisant un fileless composante de l’attaque de la chaîne. Vie-hors-la-terre, la technique de l’utilisation des ressources qui sont déjà disponibles sur le système (par exemple, wscript.exe) pour exécuter du code malveillant directement dans la mémoire, est une autre façon que cette attaque tente d’échapper à la détection,” écrit Plantado.
Plus de Microsoft, WinRAR et de sécurité de Windows
Critique WinRAR vulnérabilité de 500 millions d’utilisateurs à risque‘100 unique exploits et de comptage pour la dernière version de WinRAR bug de sécuritéWinRAR versions publiées au cours des 19 dernières années touchés par une grave faille de sécuritéComment la virtualisation est en train de changer les Fenêtres de l’application de la sécurité TechRepublicMicrosoft apporte Windows Defender pour Chrome et Firefox CNET
Rubriques Connexes:
Microsoft
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données