דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים

דווח על גל נוסף של תקיפות באמצעות הבוטנט Necurs במתווים שונים
מאת: מערכת Telecom News, 11.11.17, 22:56
 
לאחרונה התקבלו דיווחים על קמפיין נוסף של הבוטנט,Necurs  שמפיץ את הפוגען Locky וייתכן גם פוגענים ממשפחות אחרות. יש כמה וקטורי תקיפה לקמפיין הנוכחי: שימוש במנגנון ,DDE שימוש בקבצי LNK ושימוש במנגנון .OLE  איך ארגונים יכולים להתמודד?

מנגנון DDE - Dynamic Data Exchange, הוא מנגנון ישן בתוכנת Office המשמש לתקשורת בין תהליכים. המנגנון הוחלף זה מכבר במנגנון OLE, אך עדיין נתמך בשל תאימות לאחור ושימוש בו במספר רב של תוכנות ותיקות. המנגנון מאפשר תקיפה קלה לביצוע באמצעות ניצול תוכנת Word. התקיפה פועלת גם כאשר האפשרות להרצת פקודות מאקרו מנוטרלת בתוכנה.
 
קובץ LNK - הקובץ המציג את ה-ICON עבור קבצים במערכת ההפעלה. קיימת אפשרות להשתמש באחד השדות בו להפעלת תוכנה.
 
אודות שיטת התקיפה
דווח, שבקמפיין הנוכחי הפוגען מופץ בעזרת הבוטנט Necurs. המתווים רובם ככולם הם הודעות דוא"ל בעלות כותרת העוסקת בחשבונית כלשהי. התקיפה נוטה לפעול בגלים של הודעות דוא"ל רבות לנמענים שונים בארגון. 
 
התוכן כולל מספר אפשרויות ביניהן צרופה (קובץ DOC) ובו יישום של תקיפה באמצעות DDE.
 
אפשרות נוספת היא הודעת דוא"ל בפורמט BASE64, שניתן להמיר לקובץ זדוני.
 
עוד שיטה היא באמצעות קובץ DAT, שהמרתו לסיומת DOC ופתיחתו אמורה להפעיל את הפוגען.
 
בכל המקרים הפעלת הפוגען תייצר שרשרת של פעולות, שבסופן התחנה תודבק.
 
אודות הפוגען
פוגען הכופר Locky התגלה ב-2016 וקצב ההדבקה שלו מהיר מאוד. כאמור, הוא מופץ בין השאר באמצעות בוטנט בשם Necurs. לעיתים ההפצה של הפוגען נעשית באמצעות הודעות Spam ולעיתים באמצעות הודעות דוא"ל הנראות לגיטימיות. בעבר הצרופות בתוך הודעות הדוא"ל היו קבצי DOC או RTF, שהפעילו קוד מאקרו, שהריצו את הפוגען, אך כיום נשלחים קבצים מסוגים שונים, ונעשה שימוש בשיטות הפעלה מגוונות.
 
דרכי התמודדות
יש לשקול היטב אם לפתוח צרופות מהודעות, שמקורן לא ידוע, או שהגיעו באופן לא צפוי. במקרה של שולח מוכר, או צרופה, שאינה צפויה מראש, מומלץ לברר עימו שלא באמצעות דוא"ל, האם אכן שלח את ההודעה עם הצרופה.
 
מיקרוסופט פרסמה ביוני השנה עדכון אבטחה לחולשה CVE-2017-8464  הקיימת בקבצי  LNKומאפשרת הרצת קוד מרחוק. מומלץ לבחון את התקנתו בהקדם האפשרי.
 
החברה גם פרסמה בחודש אפריל עדכון אבטחה לחולשה CVE-2017-0199 הקיימת בקבצי Office. מומלץ להתקינו בהקדם האפשרי.
 
מעבר ל-2 עדכוני אבטחה ספציפיים אלה, מומלץ לבחון ולהתקין בהקדם האפשרי את כל עדכוני האבטחה הרלוונטיים לגרסת Office שבשימושכם.
 
ניתן להגדיר בתוכנת Word אפשרות לנטרול הפעלה אוטומטית של תכונת DDE, אך יש לזכור כי הפעלת אפשרות זו מהווה שינוי בהתנהגות התוכנה ועלולה לשבש פעילות של מערכות בארגונכם הנסמכים על תכונה זו. לכן, מומלץ לבחון את השינוי במערכותיכם טרם הטמעה כלל ארגונית.
 
ההגדרה הנדרשת היא:
file->options->advanced->general->update automatic links at open
יש למחוק הסימון מה-Checkbox של אפשרות זו.
 
מיקרוסופט פרסמה מסמך בנושא התגוננות מפני שימוש לרעה בפונקציית DDE. המסמך מתאר כיצד ניתן לנטרל שימוש בתכונה זו במגוון מוצרי Office. יש לבחון המשמעויות הארגוניות טרם הטמעה.