Van Microsoft voor organisaties: Hoe om uw netwerk te beveiligen
In haar jaarlijkse security intelligence report, biedt Microsoft tot de top tips voor het blokkeren van hackers.
Microsoft heeft een gedetailleerde Maart aanval op Windows klanten in de satelliet en de sectoren van de communicatie met behulp van “ongewone, interessante technieken” die dragen de kenmerken van APT groep MuddyWater.
Het bedrijf Office 365 ATP opgehaald archief (ACE) – bestanden geladen met de onlangs ontdekte WinRAR lek, CVE-2018-20250, dat is uitgegroeid tot een veel gebruikt bij cybercrime groepen en natie-staat hackers in de afgelopen maanden.
De bug werd gecoöpteerd voor het hacken na een 20 februari rapport van het Israëlische beveiligingsbedrijf Check Point uit, dat een kwaadaardige ACE-bestand kan plaats malware ergens op een Windows-PC na uitgepakt door WinRAR. Locaties zijn bijvoorbeeld de map Opstarten van Windows, waar de malware zou automatisch uit te voeren op elke reboot.
Een maand voor Check Point ‘ s rapport, WinRAR ontwikkelaars een nieuwe versie vrijgegeven, dat viel ondersteuning voor AAS, want het was niet bij te werken, een bibliotheek in WinRAR genoemd Unacev2.dll dat bevatte een directory traversal fout.
Echter, in Maart, wanneer deze aanval werd gedetecteerd door Microsoft, het is waarschijnlijk een groot deel van de wereld 500 miljoen WinRAR gebruikers nog niet bijgewerkt aan de niet-ACE versie of niet had verwijderd van de kwetsbare DLL-bestand.
De MuddyWater groep activiteiten werden voor het eerst gespot in 2017. Het is bekend om te targeten op gebruikers in het Midden-Oosten, Europa en de verenigde staten. De groep vaak artsen tot phishing documenten te verschijnen als ze de veiligheid van de armen van de verschillende overheden.
De aanval gedetailleerde by Rex Plantado van de Office 365 ATP onderzoeksteam gebruikt spear-phishing e-mail zogenaamd van het Ministerie van Buitenlandse Zaken (BZ) van de Islamitische Republiek Afghanistan. De e-mail gevraagd “zeer specifieke doelen” voor middelen, telecommunicatie-diensten, en een satelliet-kaarten.
De social engineering gebruikt in de campagne werd gemaakt om te zorgen voor volledige externe compromis van een machine binnen de beperkingen van de WinRAR te exploiteren.
Een gekoppeld Word-document stelt de gebruiker te downloaden ander document van een OneDrive link met geen macro ‘ s opgenomen – een keuze is waarschijnlijk gemaakt om detectie te voorkomen.
Als de link wordt geklikt, wordt het downloaden van een archief bestand met de tweede Word-document, deze keer met een schadelijke macro. Als het slachtoffer negeert u de beveiligingswaarschuwing over macro ‘ s, de malware lading wordt geleverd aan de PC.
Het document bevat ook een ‘Next page’ knop geeft een valse waarschuwing dat een bepaalde DLL-bestand ontbreekt en vorderingen die de computer moet opnieuw opgestart worden.
Nadat de macro is ingeschakeld, wordt een PowerShell script verzamelt informatie over het systeem, labels met een unieke ID, en stuurt dat door naar een externe server. Het script is ook het belangrijkste mechanisme voor het ophalen van de kwaadaardige ACE-bestand met de exploit voor CVE-2018-20250, die druppels een lading genoemd dropbox.exe.
Terwijl Check Point gesuggereerd dat de map Opstarten een ideale locatie voor het planten van de malware, Microsoft merkt op dat het mogelijk is om het neerzetten het bestand naar een bekende of vooraf bepaalde SMB-mappen.
Echter, in dit geval dropbox.exe is gedaald naar de map Opstarten zodra de gebruiker zich probeert te onttrekken, van drie JPEG-bestanden binnen de ACE-archief.
De leugen over een ontbrekend DLL-bestand en de noodzaak om de computer opnieuw is omdat CVE-2018-20250 staat alleen de malware schrijven van bestanden naar een bepaalde map, maar het kan niet onmiddellijk wordt uitgevoerd, legt Plantado. Dat is de reden waarom het vallen van de lading naar de map Opstarten was ideaal, want het zal starten nadat de computer opnieuw is opgestart.
“De lading dropbox.exe voert dezelfde handelingen als de schadelijke macro-component, die helpt ervoor te zorgen dat de PowerShell backdoor wordt uitgevoerd”, legt Plantado.
“De PowerShell-achterdeur kan een aanvaller op afstand de volledige controle over de besmette machine en maken het een startpunt voor meer kwaadaardige acties. Aan de kaak stellen en het stoppen van de aanvallen in de eerste fase is cruciaal in het voorkomen van aanvullende, meestal meer schadelijke gevolgen van niet-gedetecteerde malware implantaten.”
Het Microsoft security analist merkt op dat de schadelijke macro gebruikt geavanceerde technieken om detectie te vermijden, met inbegrip van het gebruik van Microsoft ‘ s eigen script-engine.
Op een bepaald moment, de macro wordt uitgevoerd wscript.exe om de lancering van het PowerShell script tijdens runtime.
“Het PowerShell script zelf niet in contact met de schijf, waardoor het een fileless onderdeel van de aanval keten. Woon-uit-de-grond, de techniek van het gebruik van middelen die al beschikbaar zijn op het systeem (bijvoorbeeld, wscript.exe) voor het uitvoeren van kwaadaardige code rechtstreeks in het geheugen, is een andere manier dat deze aanval probeert om detectie te vermijden”, schrijft Plantado.
Meer over Microsoft, Windows en Windows-beveiliging
Kritische WinRAR kwetsbaarheid plaatsen 500 miljoen gebruikers op risico‘100 unieke exploits en tellen’ voor de laatste WinRAR security bugWinRAR-versies die zijn uitgebracht in de afgelopen 19 jaar is beïnvloed door een ernstig lekHoe virtualisatie is het wijzigen van de Windows application security TechRepublicMicrosoft brengt Windows Defender Chrome en Firefox CNET
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters