דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים

דף הבית >> חדשות אבטחה ועולם הסייבר >> דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים
דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים
מאת: מערכת Telecom News, 11.11.17, 22:56סייבר
 
לאחרונה התקבלו דיווחים על קמפיין נוסף של הבוטנט,Necurs  שמפיץ את הפוגען Locky וייתכן גם פוגענים ממשפחות אחרות. יש כמה וקטורי תקיפה לקמפיין הנוכחי: שימוש במנגנון ,DDE שימוש בקבצי LNK ושימוש במנגנון .OLE  איך ארגונים יכולים להתמודד?

מנגנון DDE - Dynamic Data Exchange, הוא מנגנון ישן בתוכנת Office המשמש לתקשורת בין תהליכים. המנגנון הוחלף זה מכבר במנגנון OLE, אך עדיין נתמך בשל תאימות לאחור ושימוש בו במספר רב של תוכנות ותיקות. המנגנון מאפשר תקיפה קלה לביצוע באמצעות ניצול תוכנת Word. התקיפה פועלת גם כאשר האפשרות להרצת פקודות מאקרו מנוטרלת בתוכנה.
 
קובץ LNK - הקובץ המציג את ה-ICON עבור קבצים במערכת ההפעלה. קיימת אפשרות להשתמש באחד השדות בו להפעלת תוכנה.
 
אודות שיטת התקיפה
דווח, שבקמפיין הנוכחי הפוגען מופץ בעזרת הבוטנט Necurs. המתווים רובם ככולם הם הודעות דוא"ל בעלות כותרת העוסקת בחשבונית כלשהי. התקיפה נוטה לפעול בגלים של הודעות דוא"ל רבות לנמענים שונים בארגון. 
 
התוכן כולל מספר אפשרויות ביניהן צרופה (קובץ DOC) ובו יישום של תקיפה באמצעות DDE.
 
אפשרות נוספת היא הודעת דוא"ל בפורמט BASE64, שניתן להמיר לקובץ זדוני.
 
עוד שיטה היא באמצעות קובץ DAT, שהמרתו לסיומת DOC ופתיחתו אמורה להפעיל את הפוגען.
 
בכל המקרים הפעלת הפוגען תייצר שרשרת של פעולות, שבסופן התחנה תודבק.
 
אודות הפוגען
פוגען הכופר Locky התגלה ב-2016 וקצב ההדבקה שלו מהיר מאוד. כאמור, הוא מופץ בין השאר באמצעות בוטנט בשם Necurs. לעיתים ההפצה של הפוגען נעשית באמצעות הודעות Spam ולעיתים באמצעות הודעות דוא"ל הנראות לגיטימיות. בעבר הצרופות בתוך הודעות הדוא"ל היו קבצי DOC או RTF, שהפעילו קוד מאקרו, שהריצו את הפוגען, אך כיום נשלחים קבצים מסוגים שונים, ונעשה שימוש בשיטות הפעלה מגוונות.
 
דרכי התמודדות
יש לשקול היטב אם לפתוח צרופות מהודעות, שמקורן לא ידוע, או שהגיעו באופן לא צפוי. במקרה של שולח מוכר, או צרופה, שאינה צפויה מראש, מומלץ לברר עימו שלא באמצעות דוא"ל, האם אכן שלח את ההודעה עם הצרופה.
 
מיקרוסופט פרסמה ביוני השנה עדכון אבטחה לחולשה CVE-2017-8464  הקיימת בקבצי  LNKומאפשרת הרצת קוד מרחוק. מומלץ לבחון את התקנתו בהקדם האפשרי.
 
החברה גם פרסמה בחודש אפריל עדכון אבטחה לחולשה CVE-2017-0199 הקיימת בקבצי Office. מומלץ להתקינו בהקדם האפשרי.
 
מעבר ל-2 עדכוני אבטחה ספציפיים אלה, מומלץ לבחון ולהתקין בהקדם האפשרי את כל עדכוני האבטחה הרלוונטיים לגרסת Office שבשימושכם.
 
ניתן להגדיר בתוכנת Word אפשרות לנטרול הפעלה אוטומטית של תכונת DDE, אך יש לזכור כי הפעלת אפשרות זו מהווה שינוי בהתנהגות התוכנה ועלולה לשבש פעילות של מערכות בארגונכם הנסמכים על תכונה זו. לכן, מומלץ לבחון את השינוי במערכותיכם טרם הטמעה כלל ארגונית.
 
ההגדרה הנדרשת היא:
file->options->advanced->general->update automatic links at open
יש למחוק הסימון מה-Checkbox של אפשרות זו.
 
מיקרוסופט פרסמה מסמך בנושא התגוננות מפני שימוש לרעה בפונקציית DDE. המסמך מתאר כיצד ניתן לנטרל שימוש בתכונה זו במגוון מוצרי Office. יש לבחון המשמעויות הארגוניות טרם הטמעה.
 
NordVPN



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

31/10/17 -  TLV Generator: 30 days Prototype program  

12-19/11/17 - שבוע היזמות העולמי 2017     

14/11/17 - Red Hat Forum Israel 2017  

29-30/11/17 - Microsoft Tech Summit Tel Aviv 

12/12/17 - Video Trends For 2018 Conference   

29-31/1/18 - CybertechTLV 2018  

13-14/2/18 - Muni Expo 

5/3/18 - GoforIsrael Investment Conference

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לספטמבר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

קריאה לפיטורים של מנכ"ל משרד התקשורת שלמה פילבר - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים למיבור - כאן

 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
מידע
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Ruckus
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים