Οι παράγοντες απειλών χρησιμοποιούν γνωστή ευπάθεια του Excel

Οι παράγοντες απειλών χρησιμοποιούν γνωστή ευπάθεια του Excel

Dezember 23, 2022 0 Von admin
Μια οθόνη κώδικα με μια ειδοποίηση που συμβολίζει μια επίθεση κακόβουλου λογισμικού.
Εικόνα: Sashkin/Adobe Stock

Τα αρχεία του Microsoft Office, ιδιαίτερα τα αρχεία Excel και Word, έχουν γίνει στόχος ορισμένων εγκληματιών του κυβερνοχώρου εδώ και πολύ καιρό. Μέσω διαφορετικών τεχνικών, οι εισβολείς έχουν χρησιμοποιήσει ενσωματωμένες μακροεντολές Visual Basic for Applications για να μολύνουν υπολογιστές με διαφορετικά είδη κακόβουλου λογισμικού για εγκλήματα στον κυβερνοχώρο και κατασκοπεία στον κυβερνοχώρο.

Στις περισσότερες περιπτώσεις, οι χρήστες εξακολουθούσαν να χρειάζεται να κάνουν κλικ στη συμφωνία τους κατά την εκτέλεση κώδικα μέσα σε αυτές τις εφαρμογές, αλλά ορισμένα κόλπα κοινωνικής μηχανικής έχουν δελεάσει τα ανυποψίαστα θύματα να κάνουν κλικ και να επιτρέπουν την εκτέλεση των κακόβουλων μακροεντολών. Η άμεση εκμετάλλευση ευπαθειών χωρίς καμία αλληλεπίδραση με τον χρήστη είναι επίσης δυνατή για την εκκίνηση κακόβουλου λογισμικού.

ΔΕΙΤΕ: Πολιτική ασφαλείας φορητών συσκευών (TechRepublic Premium)

Πηδάω σε:

.XLL κακόβουλη εκμετάλλευση στη φύση

Όπως αποκαλύπτεται σε νέα έρευνα από τη Cisco Talos, Οι φορείς απειλών ενδέχεται να αξιοποιήσουν λειτουργίες χειρισμού συμβάντων σε αρχεία Excel προκειμένου να ξεκινήσει αυτόματα τα αρχεία .XLL. Η πιο συνηθισμένη μέθοδος για να επιτευχθεί αυτό είναι η εκτέλεση του κακόβουλου κώδικα όταν ο διαχειριστής πρόσθετων του Excel καλεί τις συναρτήσεις xlAutoOpen ή xlAutoClose.

Οι ερευνητές της Cisco Talos έχουν αξιοποιήσει συγκεκριμένα ερωτήματα στο VirusTotal για να βρουν κακόβουλα αρχεία .XLL και να παρέχουν κανόνες YARA για αναζήτηση τέτοιων αρχείων. Διαχώρισαν τα εγγενή δείγματα .XLL που έχουν δημιουργηθεί με το συνηθισμένο Microsoft .XLL SDK και τα δείγματα που δημιουργούνται χρησιμοποιώντας το πλαίσιο ExcelDNA, καθώς είναι δωρεάν και τείνει να είναι αυτό που χρησιμοποιείται περισσότερο από τους παράγοντες απειλών (Εικόνα Α).

Εικόνα Α

Αριθμός υποβολών αρχείων .XLL στο VirusTotal.
Εικόνα: Cisco Talos. Αριθμός υποβολών αρχείων .XLL στο VirusTotal.
Αριθμός υποβολών αρχείων .XLL στο VirusTotal.
Εικόνα: Cisco Talos. Αριθμός υποβολών αρχείων .XLL στο VirusTotal.

Τα παραπάνω γραφήματα αποκαλύπτουν ότι οι φορείς απειλών εκμεταλλεύονται ευπάθειες αρχείων .XLL πολύ πριν η Microsoft αρχίσει να αποκλείει έγγραφα που περιέχουν μακροεντολές VBA.

Οι ερευνητές του Cisco Talos διαπίστωσαν ότι δεν υποβλήθηκαν δυνητικά κακόβουλα δείγματα μέχρι τον Ιούλιο του 2017. Το πρώτο ωφέλιμο φορτίο .XLL που βρέθηκε στην πλατφόρμα VirusTotal κυκλοφόρησε το calc.exe, το οποίο είναι μια συνηθισμένη μέθοδος δοκιμής για δοκιμαστές διείσδυσης και εγκληματίες στον κυβερνοχώρο. Το δεύτερο δείγμα, που υποβλήθηκε τον ίδιο μήνα, κυκλοφόρησε ένα αντίστροφο κέλυφος Meterpreter, το οποίο μπορεί να χρησιμοποιηθεί για δοκιμή διείσδυσης ή κακόβουλη πρόθεση.

Μετά από αυτή τη δραστηριότητα, τα αρχεία .XLL εμφανίστηκαν σποραδικά, αλλά δεν αυξήθηκαν μέχρι τα τέλη του 2021, όταν οι διαβόητες οικογένειες κακόβουλου λογισμικού όπως το Dridex και το FormBook άρχισαν να το χρησιμοποιούν.

Ποιοι φορείς απειλών εκμεταλλεύονται αρχεία .XLL;

Αρκετοί παράγοντες απειλών χρησιμοποιούν τώρα αρχεία .XLL για να μολύνουν υπολογιστές.

Το APT10, γνωστό και ως Red Apollo, menuPass, Stone Panda ή Potassium, είναι ένας παράγοντας απειλών κυβερνοκατασκοπείας που δραστηριοποιείται από το 2006 και συνδέεται με το κινεζικό Υπουργείο Κρατικής Ασφάλειας, σύμφωνα με την Υπουργείο Δικαιοσύνης.

Ένα αρχείο που αξιοποιεί το .XLL για την έγχυση ενός κακόβουλου λογισμικού αποκλειστικά για το APT10 με την ονομασία Anel βρέθηκε τον Δεκέμβριο του 2017 από τους ερευνητές.

Το TA410 είναι ένας άλλος παράγοντας απειλής που στοχεύει επιχειρήσεις κοινής ωφελείας και διπλωματικούς οργανισμούς των ΗΠΑ και συνδέεται χαλαρά με το APT10. Χρησιμοποιούν μια εργαλειοθήκη που περιλαμβάνει επίσης ένα στάδιο .XLL που ανακαλύφθηκε το 2020.

Η ομάδα DoNot που στοχεύει μη κερδοσκοπικούς οργανισμούς από το Κασμίρ και κυβερνητικούς αξιωματούχους του Πακιστάν φάνηκε να χρησιμοποιεί επίσης αυτήν τη μέθοδο: Ένα αρχείο .XLL που περιέχει δύο εξαγωγές, το πρώτο που ονομάζεται pdteong και το δεύτερο xlAutoOpen, το καθιστούν πλήρως λειτουργικό ωφέλιμο φορτίο .XLL. Το όνομα εξαγωγής pdteong έχει χρησιμοποιηθεί αποκλειστικά από την ομάδα DoNot.

Το FIN7 είναι ένας παράγοντας απειλών για εγκλήματα στον κυβερνοχώρο που δραστηριοποιείται από τη Ρωσία. Το 2022, ο παράγοντας απειλών άρχισε να χρησιμοποιεί αρχεία .XLL που αποστέλλονται ως αρχεία συνημμένων σε κακόβουλες καμπάνιες ηλεκτρονικού ταχυδρομείου. Όταν αυτά τα αρχεία εκτελούνται, λειτουργούν ως προγράμματα λήψης για το επόμενο στάδιο μόλυνσης.

Ωστόσο, η σημαντική άνοδος στις ανιχνεύσεις .XLL στο VirusTotal προέρχεται κυρίως από καμπάνιες κακόβουλου λογισμικού Dridex. Αυτά τα αρχεία .XLL χρησιμοποιούνται ως προγράμματα λήψης για το επόμενο στάδιο μόλυνσης, το οποίο επιλέγεται από μια μεγάλη λίστα πιθανών ωφέλιμων φορτίων που είναι προσβάσιμα μέσω της εφαρμογής λογισμικού Discord.

Το δεύτερο πιο κοινό ωφέλιμο φορτίο είναι το FormBook, ένα πρόγραμμα κλοπής πληροφοριών που διατίθεται ως υπηρεσία σε φθηνή τιμή στο διαδίκτυο. Χρησιμοποιεί καμπάνιες ηλεκτρονικού ταχυδρομείου για τη διάδοση του προγράμματος λήψης .XLL, το οποίο ανακτά το επόμενο στάδιο μόλυνσης – το ίδιο το κακόβουλο λογισμικό FormBook.

Μια πρόσφατη καμπάνια AgentTesla και Lokibot που στόχευε την Ουγγαρία εκμεταλλεύτηκε αρχεία .XLL μέσω email. Το email προσποιήθηκε ότι προερχόταν από τα ουγγρικά αστυνομικά τμήματα (Εικόνα Β).

Εικόνα Β

Δόλιο περιεχόμενο email σε μια καμπάνια AgentTesla.
Εικόνα: Cisco Talos. Δόλιο περιεχόμενο email σε μια καμπάνια AgentTesla.

Το κείμενο έχει μεταφραστεί από τον Cisco Talos:

«Είμαστε το VII Περιφερειακό Αστυνομικό Τμήμα της Βουδαπέστης.

Έχουμε ακούσει για την αριστεία της εταιρείας σας. Το κέντρο μας χρειάζεται την προσφορά σας για τον προϋπολογισμό μας για το 2022 (επισυνάπτεται). Ο προϋπολογισμός συγχρηματοδοτείται από το Υπουργείο Εσωτερικών της ουγγρικής κυβέρνησής μας. Υποβάλετε την προσφορά σας έως τις 25 Αυγούστου 2022. Βρείτε το συνημμένο και ενημερώστε μας εάν χρειάζεστε περισσότερες πληροφορίες.“

Επιπλέον, το κακόβουλο λογισμικό Ducktail, ένα κακόβουλο λογισμικό κλοπής πληροφοριών που εκτελείται από έναν παράγοντα απειλών που λειτουργεί στο Βιετνάμ, χρησιμοποιεί το .XLL. Ο ηθοποιός της απειλής χρησιμοποίησε ένα αρχείο με το όνομα „Details of Project Marketing Plan and Facebook Google Ads Results Report.xll“ για να μολύνει τους στόχους του με το κακόβουλο λογισμικό Ducktail.

Η προεπιλεγμένη συμπεριφορά του Microsoft Office αλλάζει για καλό

Για να βοηθήσει στην καταπολέμηση λοιμώξεων μέσω της χρήσης μακροεντολών VBA, η Microsoft αποφάσισε να αλλάξει την προεπιλεγμένη συμπεριφορά των προϊόντων της Office για να αποκλείσει τις μακροεντολές σε αρχεία που έχουν ληφθεί από το διαδίκτυο.

Τα πρόσθετα του Office είναι κομμάτια εκτελέσιμου κώδικα που μπορούν να προστεθούν στις εφαρμογές του Office για τη βελτίωση των λειτουργιών ή τη βελτίωση της εμφάνισης της εφαρμογής. Τα πρόσθετα του Office ενδέχεται να περιέχουν κώδικα VBA ή λειτουργικές μονάδες που ενσωματώνουν μεταγλωττισμένες λειτουργίες σε bytecode .NET. Αυτό θα μπορούσε να είναι με τη μορφή διακομιστών COM ή μιας Βιβλιοθήκης Δυναμικής Σύνδεσης που μετονομάστηκε με μια συγκεκριμένη επέκταση αρχείου.

Τα πρόσθετα για την εφαρμογή Microsoft Word πρέπει να βρίσκονται σε θέση που καθορίζεται από μια τιμή μητρώου, ανάλογα με την έκδοση του Office. Ένα αρχείο που τοποθετείται σε αυτόν το φάκελο με επέκταση αρχείου .WLL θα φορτωθεί στο χώρο της διαδικασίας του Word.

Για το Microsoft Excel, οποιοδήποτε αρχείο με επέκταση .XLL στο οποίο κάνει κλικ ο χρήστης θα επιχειρήσει αυτόματα να εκτελέσει το Excel ως το άνοιγμα για το αρχείο .XLL. Σε κάθε περίπτωση, το λογισμικό Excel θα ενεργοποιήσει ένα μήνυμα εμφάνισης σχετικά με πιθανά κακόβουλα προγράμματα ή προβλήματα ασφαλείας, αλλά αυτό είναι αναποτελεσματικό με τους γενικούς χρήστες, οι οποίοι τείνουν να παραβλέπουν τέτοιες προειδοποιήσεις.

Τα πρόσθετα .XLL αναπτύσσονται γενικά στη γλώσσα προγραμματισμού C/C++ χρησιμοποιώντας το Microsoft Excel .XLL Software Development Kit, αλλά ορισμένα πλαίσια όπως το Add-In Express και το Excel-DNA επιτρέπουν τη χρήση γλωσσών .NET όπως η C# ή η VB. ΚΑΘΑΡΑ.

Τρόπος προστασίας από την απειλή ασφαλείας .XLL

Η χρήση αρχείων .XLL δεν είναι ευρέως διαδεδομένη σε εταιρικά περιβάλλοντα. Οι επιχειρήσεις που δεν το χρειάζονται θα πρέπει να αποκλείσουν κάθε προσπάθεια εκτέλεσης αρχείων .XLL στο περιβάλλον τους. Εάν η εταιρεία σας επιτρέπει τη χρήση αρχείων .XLL, πρέπει να εκτελείται προσεκτική παρακολούθηση στα τελικά σημεία και στους διακομιστές προκειμένου να εντοπιστεί οποιαδήποτε ύποπτη δραστηριότητα και να διερευνηθεί.

Οι πύλες ηλεκτρονικού ταχυδρομείου δεν πρέπει να δέχονται αρχεία .XLL από προεπιλογή και να ευαισθητοποιούν τους εταιρικούς χρήστες. Εάν δουν ένα προειδοποιητικό μήνυμα από το Excel σχετικά με την εκτέλεση πρόσθετων και δεν γνωρίζουν γιατί συμβαίνει αυτό, δεν θα πρέπει να επιτρέψουν την εκτέλεση και να καλέσουν το τμήμα IT/ασφάλειας.

Αυτή η πολιτική ευαισθητοποίησης και εκπαίδευσης για την ασφάλεια και τα πρότυπα ειδοποιήσεων ασφαλείας ηλεκτρονικού ταχυδρομείου IT από την TechRepublic Premium αποτελούν εξαιρετικούς πόρους για να αποτρέψουν την καταστροφή της κυβερνοασφάλειας.

Αποκάλυψη: Δουλεύω για την Trend Micro, αλλά οι απόψεις που εκφράζονται σε αυτό το άρθρο είναι δικές μου.