Microsoft Word DDE Exploit, yaygın Malware Saldırılarında Kullanılıyor.
Microsoft Office’in dahili bir özelliğini kullanan, keşfedilen yeni bir saldırı yöntemi, şu anda çeşitli yaygın malware saldırısı kampanyalarında kullanılmaktadır.
DDE protokolü, Microsoft’un iki çalışan uygulamanın aynı verileri paylaşmasına izin vermek için kullandığı birkaç yöntemden biridir.
Protokol, MS Excel, MS Word, Quattro Pro ve Visual Basic gibi bir kerelik veri aktarımları ve güncellemeleri birbirine göndermek için kesintisiz değişimler için kullanılan binlerce uygulama tarafından kullanılmaktadır.
DDE sömürme tekniği, kurbanlara komutla belirtilen uygulamayı çalıştırıp çalıştırmayacaklarını sormak dışında “güvenlik” uyarıları görüntülememektedir; ancak bu açılır pencere uyarısı da “uygun sözdizimi değişikliği ile” ortadan kaldırılabilir.
DDE saldırı tekniğinin ayrıntıları public olduktan kısa süre sonra Cisco’nun Talos tehdit araştırma grubu, DNSMessenger adı verilen, dosyasız bir uzaktan erişim trojan (RAT) bulunan birkaç kuruluşu hedef almak için bu saldırı tekniğini etkin biçimde kullanan bir saldırı kampanyasıyla ilgili bir rapor yayınladı.
Necurs Botnet, DDE Saldırılarını Spread Locky Ransomware için Kullanıyor
Şimdi, hacker kullanılarak bulunmuştur Necurs Botnet şu anda dünya çapında 6 milyon enfekte bilgisayarlar kontrol eder ve yeni keşfedilen kaldıraç Word belgeleri kullanarak Locky Ransomware ve TrickBot bankacılık trojan dağıtmak için e-postalar-milyonlarca gönderir -malware DDE saldırı tekniğini , rapor SANS ISC .
Locky ransomware hackerları daha önce makro tabanlı booby-trapped MS Office belgelerine güveniyorlardı, ancak şimdi Nercus Botnet’i DDE istismarı yoluyla kötü amaçlı yazılımlar sunmak için güncellediler ve mağdurların masaüstlerinin ekran görüntülerini alma becerisi kazandı.
Symantec, bir blog yazısında “Bu yeni dalganın ilginç olanı, indiricinin artık kurbanlardan telemetri toplamak için yeni işlevsellik içeriyor olması” diyor .
Ekran kepçelerini alıp onları uzaktaki bir sunucuya geri gönderebilir.Aynı zamanda faaliyetlerini gerçekleştirmeye çalıştıklarında indiricinin karşılaştığı hataların ayrıntılarını geri gönderecek bir hata raporlama özelliği vardır “dedi.
DDE Saldırılarını Kullanan Hancitor Malware
Güvenlik araştırmacılar tarafından keşfedilen başka bir kötü amaçlı yazılım spam kampanyasında Microsoft Office DDE kullanımını kullanarak Hancitor malware (Chanitor ve Tordal olarak da bilinir) dağıtıldığı da tespit etti.
Kendinizi Word DDE Saldırılarından Nasıl Korursunuz?
DDE, Microsoft’un meşru bir özelliği olduğundan, çoğu virüsten koruma çözümü herhangi bir uyarı işareti ya da DDE alanları olan MS Office belgelerini engeller; ne de teknoloji şirketi, işlevselliğini kaldıran bir düzeltme eki yayınlama planına sahip değildir.
Böylece, MS Office programlarındaki “açık olan otomatik bağlantıları güncelle” seçeneğini devre dışı bırakarak kendiniz ve kuruluşunuzu bu tür saldırılardan koruyabilirsiniz.
Bunu yapmak için Word → Dosya Seç → Seçenekler → Gelişmiş’i açın ve Genel bölümüne gidin ve ardından “Açıldığında Otomatik Bağlantıları Güncelle” seçeneğinin işaretini kaldırın .
Bununla birlikte, bu gibi saldırılara karşı kendinizi korumanın en iyi yolu, bir e-posta yoluyla gönderilen davetsiz belgenin şüpheli olmasını ve kaynakların yeterince doğrulanmadığı sürece bu belgelerdeki bağlantıların hiçbirini tıkamamasıdır.