Microsoft att organisationer: Hur säkra ditt nätverk
I sin årliga security intelligence report, som Microsoft erbjuder sina bästa tips för att blockerar hackare.
Microsoft har en detaljerad Mars attack på Windows-kunder i satellit-och kommunikation med hjälp av “ovanliga, intressanta tekniker” som präglas av APT-gruppen MuddyWater.
Bolagets Office 365 ATP plockade upp arkiv (ACE) filer som lästs in med den nyligen upptäckta WinRAR fel, CVE-2018-20250, som har blivit allmänt används bland it-relaterad brottslighet grupper och nationalstaten hackare under de senaste månaderna.
Felet var adjungerad för dataintrång efter en 20 februari-rapport från Israeliska säkerhetsföretaget Check Point visade att en skadlig ACE-fil kan placera skadlig kod var som helst på en Windows-DATOR efter att de extraherats med hjälp av WinRAR. Platser ingår i Windows Autostart-mappen, där skadlig kod automatiskt skulle köra på varje omstart.
En månad innan Check Point ‘ s rapport, WinRAR-utvecklare har släppt en ny version som inte längre stöd för ACE eftersom det gick inte att uppdatera ett bibliotek i WinRAR kallas Unacev2.dll som innehöll en katalogtraversering fel.
Men av Mars, när attacken upptäcktes av Microsoft, är det troligt att en stor del av världens 500 miljoner WinRAR användare inte hade uppdaterats till icke-ACE-versionen eller inte hade tagit bort den utsatta DLL.
Den MuddyWater koncernens verksamhet var först upptäcktes i och med 2017. Det är känt att target-användarna i Mellanöstern, Europa och USA. Gruppen ofta läkare upp phishing-dokument som ska visas som om de är från säkerhet vapen av olika regeringar.
Attacken detaljerad by Rex Plantado av Office 365 ATP forskargrupp som används spear-phishing e-post som påstås från utrikesdepartementet (UD) i den Islamiska Republiken Afghanistan. E-frågade: “väldigt specifika mål” för resurser, telekommunikationstjänster och satellit-kartor.
Den sociala ingenjörskonst som används i kampanjen var utformad för att säkerställa full remote kompromiss av en maskin inom de begränsningar som av WinRAR utnyttja.
Ett bifogat Word-dokument tyder på användaren att ladda ner ytterligare dokument från en OneDrive länk med inga makron som ingår – ett val som förmodligen gjorde att undvika upptäckt.
Om de klickar på länken, det hämtar en arkivfil med det andra Word-dokument, denna gång med ett skadligt makro. Om offret ignorerar säkerhet varning om makron, malware nyttolast levereras till DATORN.
Dokumentet innehåller också en “Nästa sida” knapp som visar en falsk varning om att en viss DLL-fil saknas, och hävdar att datorn måste startas om.
När makrot aktiveras, ett PowerShell script som samlar in information om systemet, taggar den med ett unikt ID, och skickas till en fjärrserver. Manuset är också viktig mekanism för att hämta skadlig ACE-fil med de utnyttja för CVE-2018-20250, som droppar en nyttolast som kallas dropbox.exe.
Medan Check Point föreslog att Autostart-mappen skulle vara en idealisk plats att plantera malware, Microsoft konstaterar att det är möjligt att släppa filen till en känd eller förutbestämd SMB-mappar.
Men i det här fallet dropbox.exe är sjunkit till Autostart-mappen så snart användaren försök att extrahera alla tre JPEG-filer inom ACE-arkiv.
Lögnen om en saknad DLL-fil och behovet av att starta om datorn är på grund CVE-2018-20250 bara tillåter malware för att skriva filer till en viss mapp, men det kan inte visas direkt, förklarar Plantado. Det är därför släppa bomben i Autostart-mappen var idealisk, eftersom den kommer att starta när datorn startas om.
“Nyttolast dropbox.exe utför samma åtgärder som skadligt makro-komponent som hjälper till att säkerställa att den PowerShell bakdörr är igång, förklarar Plantado.
“PowerShell bakdörr kan möjliggöra för en angripare att ta full kontroll över den infekterade maskinen och göra det till en förutsättning för mer skadliga åtgärder. Avslöja och stoppa attacker i ett tidigt skede är avgörande för att förebygga ytterligare, vanligtvis mer skadliga effekterna av oupptäckt skadlig programvara implantat.”
Microsoft security analytiker konstaterar att den skadliga makro används avancerad teknik för att undgå upptäckt, inklusive användning av Microsofts egna skript motorn.
Vid ett tillfälle makrot körs wscript.exe för att starta PowerShell-skript vid körning.
“PowerShell script själv inte vidrör skivan, vilket gör det till en fileless del av attacken kedja. Bor-off-the-land -, teknik för att använda resurser som redan finns på systemet (t.ex., wscript.exe) för att köra skadlig kod direkt i minnet, är ett annat sätt att denna attack försöker undgå upptäckt”, skriver Plantado.
Mer om Microsoft, WinRAR och Windows säkerhet
Kritiska WinRAR sårbarhet platser 500 miljoner användare på riskenför “100 unika utnyttjar och räkna” för senaste WinRAR säkerhet buggWinRAR versioner som har getts ut under de senaste 19 åren påverkat av en allvarlig säkerhetsbristHur virtualisering är att ändra Windows-program säkerhet TechRepublicMicrosoft för Windows Defender till Chrome och Firefox CNET
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter