ここ数年、OLE(Object Linking Embedding)/Microsoft Officeファイルを介したマクロベースの攻撃が見受けられます。しかし現在、攻撃者はOfficeファイルを介してマルウェアを拡散するために、異なる手法、「Dynamic Data Exchange(DDE) '。
DDEは、アプリケーション間でデータを転送するための複数の方法を提供する、Microsoft Officeの公式機能です。通信プロトコルが確立されると、アプリケーション間でデータを交換するためにユーザーの操作は必要ありません。DDE機能はWordやExcel文書だけでなく、RTFやOutlookでも利用できます。
技術的な詳細
この攻撃は、図 1 に示すように、悪意のあるドキュメント ファイルが添付されたスパム メールから始まります。
マイクロソフトワード アプリケーションすなわち, 'winword.exe' この添付ファイルを開く DDEコードを実行します。 投げる user プロンプト 言う それ この文書 いくつかのリンクが含まれています かもしれません 参照する 他のファイルからデータを取得する。図2は このプロンプト。
ユーザーが選択した場合 あり, リモートデータ実行情報を示す別のユーザープロンプトが表示されます。ここでユーザーが あり, 攻撃は成功するでしょう。
図 3 はリモート データに関する情報を示しています (ケースによって異なる場合があります)。
これらのユーザープロンプトのいずれかでユーザーが いいえ, 攻撃は失敗するでしょう。
DDEコードを持つマルウェアは、PowerShellなどのコードをパラメータとして「cmd.exe」を実行します。PowerShellはペイロードをバックグラウンドでダウンロードし、サイレントに実行します。ペイロードには、あらゆる種類のマルウェアが含まれている可能性があります。図4は、DDEコードの一例です。
シグネチャベースの検出を回避するために、マルウェア作成者は次のようなさまざまな難読化手法を使用します。
難読化手法1
DDE と PowerShell コードを異なるタグに分割します。
難読化手法2
PowerShell コードを base64 でエンコードしました。
難読化手法3
それぞれの文字の整数値でエンコードされた PowerShell コード。
デコード済み 上記のコードのバージョン:
DDEベースのOfficeマルウェア攻撃手法は、攻撃者にとって非常に単純です。この傾向は、今後マルウェア作成者にも引き継がれると予想されます。
安全防災 m安らぎ
- 使用していない場合は DDE を無効にすることを検討してください。
- ユーザー インターフェイス経由で DDE 機能を無効にするには、ファイル -> オプション -> セキュリティ センター -> セキュリティ センターの設定 -> 外部コンテンツ -> ブック リンクのセキュリティ設定を、ブック リンクの自動更新を無効にするに設定します。
- 望ましくないソースや予期しないソースからの電子メールで届いた添付ファイルをダウンロードしたり開いたりしないでください。
- オペレーティング システムに推奨されるすべてのセキュリティ更新とパッチを適用します。
の指標 c妥協:
53c1d68242de77940a0011d7d108c098
106776A1A0F1F15E17C06C23CBFE550E
31362967C1BFE285DDC5C3AB27CDC62D
主題の専門家
- アニルッダ ドラス、プラシャント ティレカール|クイックヒールセキュリティラボ
