דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים

דף הבית >> חדשות אבטחה ועולם הסייבר >> דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים
דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים
מאת: מערכת Telecom News, 11.11.17, 22:56
 
לאחרונה התקבלו דיווחים על קמפיין נוסף של הבוטנט,Necurs  שמפיץ את הפוגען Locky וייתכן גם פוגענים ממשפחות אחרות. יש כמה וקטורי תקיפה לקמפיין הנוכחי: שימוש במנגנון ,DDE שימוש בקבצי LNK ושימוש במנגנון .OLE  איך ארגונים יכולים להתמודד?

מנגנון DDE - Dynamic Data Exchange, הוא מנגנון ישן בתוכנת Office המשמש לתקשורת בין תהליכים. המנגנון הוחלף זה מכבר במנגנון OLE, אך עדיין נתמך בשל תאימות לאחור ושימוש בו במספר רב של תוכנות ותיקות. המנגנון מאפשר תקיפה קלה לביצוע באמצעות ניצול תוכנת Word. התקיפה פועלת גם כאשר האפשרות להרצת פקודות מאקרו מנוטרלת בתוכנה.
 
קובץ LNK - הקובץ המציג את ה-ICON עבור קבצים במערכת ההפעלה. קיימת אפשרות להשתמש באחד השדות בו להפעלת תוכנה.
 
אודות שיטת התקיפה
דווח, שבקמפיין הנוכחי הפוגען מופץ בעזרת הבוטנט Necurs. המתווים רובם ככולם הם הודעות דוא"ל בעלות כותרת העוסקת בחשבונית כלשהי. התקיפה נוטה לפעול בגלים של הודעות דוא"ל רבות לנמענים שונים בארגון. 
 
התוכן כולל מספר אפשרויות ביניהן צרופה (קובץ DOC) ובו יישום של תקיפה באמצעות DDE.
 
אפשרות נוספת היא הודעת דוא"ל בפורמט BASE64, שניתן להמיר לקובץ זדוני.
 
עוד שיטה היא באמצעות קובץ DAT, שהמרתו לסיומת DOC ופתיחתו אמורה להפעיל את הפוגען.
 
בכל המקרים הפעלת הפוגען תייצר שרשרת של פעולות, שבסופן התחנה תודבק.
 
אודות הפוגען
פוגען הכופר Locky התגלה ב-2016 וקצב ההדבקה שלו מהיר מאוד. כאמור, הוא מופץ בין השאר באמצעות בוטנט בשם Necurs. לעיתים ההפצה של הפוגען נעשית באמצעות הודעות Spam ולעיתים באמצעות הודעות דוא"ל הנראות לגיטימיות. בעבר הצרופות בתוך הודעות הדוא"ל היו קבצי DOC או RTF, שהפעילו קוד מאקרו, שהריצו את הפוגען, אך כיום נשלחים קבצים מסוגים שונים, ונעשה שימוש בשיטות הפעלה מגוונות.
 
דרכי התמודדות
יש לשקול היטב אם לפתוח צרופות מהודעות, שמקורן לא ידוע, או שהגיעו באופן לא צפוי. במקרה של שולח מוכר, או צרופה, שאינה צפויה מראש, מומלץ לברר עימו שלא באמצעות דוא"ל, האם אכן שלח את ההודעה עם הצרופה.
 
מיקרוסופט פרסמה ביוני השנה עדכון אבטחה לחולשה CVE-2017-8464  הקיימת בקבצי  LNKומאפשרת הרצת קוד מרחוק. מומלץ לבחון את התקנתו בהקדם האפשרי.
 
החברה גם פרסמה בחודש אפריל עדכון אבטחה לחולשה CVE-2017-0199 הקיימת בקבצי Office. מומלץ להתקינו בהקדם האפשרי.
 
מעבר ל-2 עדכוני אבטחה ספציפיים אלה, מומלץ לבחון ולהתקין בהקדם האפשרי את כל עדכוני האבטחה הרלוונטיים לגרסת Office שבשימושכם.
 
ניתן להגדיר בתוכנת Word אפשרות לנטרול הפעלה אוטומטית של תכונת DDE, אך יש לזכור כי הפעלת אפשרות זו מהווה שינוי בהתנהגות התוכנה ועלולה לשבש פעילות של מערכות בארגונכם הנסמכים על תכונה זו. לכן, מומלץ לבחון את השינוי במערכותיכם טרם הטמעה כלל ארגונית.
 
ההגדרה הנדרשת היא:
file->options->advanced->general->update automatic links at open
יש למחוק הסימון מה-Checkbox של אפשרות זו.
 
מיקרוסופט פרסמה מסמך בנושא התגוננות מפני שימוש לרעה בפונקציית DDE. המסמך מתאר כיצד ניתן לנטרל שימוש בתכונה זו במגוון מוצרי Office. יש לבחון המשמעויות הארגוניות טרם הטמעה.
 
NordVPN



 
 
Bookmark and Share


 

לוח מודעות
מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

17/1/19 - Afeka - Speech Technologies for Healthcare

7/3/19 - 2019 OurCrowd Global Investor Summit 

13/3/19 -  Telco 2019  

13/5/19 - ChipEx2019    

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לנובמבר 2018 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

מורה נבוכים בפרשת "תיק 4000" מי עוד צפוי להיחקר ומה עדיין לא נחקר - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן

חשיפת ההונאה הגדולה שהובילה לכך שמוצרי התקשורת יקרים יותר בישראל - כאן

בלעדי לקוראי האתר: 1 ש"ח ליום שיחות וגלישה ללא הגבלה בחו"ל... - כאן

חשיפת מה שלא רוצים  שתדעו בעניין פריסת אנלימיטד (בניחוח בלתי נסבל) - כאן

צעירי קליפורניה "עפים על עצמם" עם ה-e-Scooter קורקינט בשם Bird (ציפור) - כאן

השוק הקווי לקראת דעיכה ויצירת מונופול חדש (סלקום) על חורבות בזק והוט - כאן

חשיפה: האם ניתן לחבר ממיר כבלים פרטי על רשת הוט? - כאן


 
זרקור חברות
 
Telecom Experts
 
NORDVPN
 
קפל
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Pixabay
 
Telecom Experts
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים