Какие вредоносные программы могут заражать ворд и эксель

Один из самых рас­простра­нен­ных век­торов атак на орга­низа­ции и прос­тых поль­зовате­лей — соци­аль­ная инже­нерия. Зло­деи при­сыла­ют жер­тве элек­трон­ное пись­мо с вло­жени­ем, очень час­то — документ Microsoft Office с опас­ным содер­жимым. В этой статье мы раз­берем­ся, как ана­лизи­ровать такие докумен­ты и как искать в их нед­рах вре­донос­ный код.

Сог­ласно мат­рице MITRE ATT

olevba — для извле­чения и ана­лиза исходно­го кода мак­росов VBA из докумен­тов MS Office (OLE и OpenXML);

oledump — для ана­лиза потоков дан­ных OLE-фай­ла;

rtfdump — для ана­лиза фай­лов фор­мата RTF;

rtfobj — для извле­чения встро­енных объ­ектов из фай­лов RTF;

scdbg — для ана­лиза шелл‑кода, ути­лита пос­тро­ена на осно­ве биб­лиоте­ки для эму­ляции libemu.

info

Ис­сле­дова­ние мы будем про­водить в лабора­тории для ана­лиза вре­доно­сов, под­робно опи­сан­ной в статье «Код под над­зором. Соз­даем вир­туаль­ную лабора­торию для ана­лиза мал­вари».

Прячем вирус в Word. Как заражают документы Microsoft Office?

Все необ­ходимые для ана­лиза вре­донос­ных докумен­тов ути­литы находят­ся в катало­ге FLARE Office вир­туаль­ной машины под управле­нием Windows 10. А опи­сание обще­го под­хода к это­му самому ана­лизу мож­но най­ти в памят­ке Лен­ни Зель­цера.

Итак, прис­тупим к изу­чению фай­лов с сай­та CyberDefenders. Я не буду при­водить отве­ты на воп­росы из заданий — пов­торив все опи­сан­ные ниже экспе­римен­ты, ты смо­жешь най­ти их сам.

Obfuscated

Заг­рузим с сай­та ар­хив с задани­ем. Пер­вым делом пос­чита­ем хеш MD5 содер­жащего­ся в архи­ве фай­ла (в резуль­тате получит­ся зна­чение 49b367ac261a722a7c2bbbc328c32545 ) и про­верим его на VirusTotal.

Те­перь получим информа­цию о струк­туре вре­донос­ного докумен­та. Для это­го вос­поль­зуем­ся ути­литой oleid.

oleid 49b367ac261a722a7c2bbbc328c32545

Тул­за опре­дели­ла, что это документ Microsoft Office Word и в нем есть VBA-мак­рос. Его нам пред­сто­ит вытащить наружу. Для начала вос­поль­зуем­ся ути­литой oledump и пос­мотрим, в каком потоке OLE содер­жится VBA-мак­рос.

oledump 49b367ac261a722a7c2bbbc328c32545

Мак­рос спря­тал­ся в вось­мом потоке дан­ных. Выг­рузим его при помощи инс­тру­мен­та olevba с клю­чом -a .

olevba -a 49b367ac261a722a7c2bbbc328c32545

В потоке Macros/ VBA/ Module1 сос­редото­чена основная фун­кци­ональ­ность вре­донос­ного скрип­та. Из вывода ути­литы вид­но, какие фун­кции он исполь­зует. Давай извле­чем этот скрипт и нач­нем иссле­довать код.

Автозаполнение документов в Word (из Excel) / Autofill documents in Word (from Excel)

olevba -c 49b367ac261a722a7c2bbbc328c32545

Фун­кция AutoOpen( ) запус­кает выпол­нение скрип­та, ког­да документ откры­вают. Что­бы усложнить нам работу, зло­умыш­ленни­ки обфусци­рова­ли код VBA-мак­роса: име­на перемен­ных пред­став­лены в фор­мате Base64. Мы будем вруч­ную деоб­фусци­ровать код и раз­берем его фун­кци­ональ­ность.

info

Для деоб­фуска­ции VBA-мак­роса мож­но вос­поль­зовать­ся ути­литой ViperMonkey, которая эму­лиру­ет выпол­нение сце­нария, но сегод­ня про­ведем руч­ной ана­лиз.

Нач­нем с фун­кции AutoOpen( ) .

На кар­тинке ты видишь выделен­ный фраг­мент кода, содер­жащий нес­коль­ко очень инте­рес­ных фун­кций. Фун­кция FileLen( ActiveDocument. FullName) получа­ет раз­мер докумен­та Word и записы­вает его в перемен­ную N18Eoi6OG6T2rNoVl41W . Фун­кция Open( ActiveDocument. FullName) откры­вает документ в бинар­ном фор­мате, затем записы­вает его содер­жимое в перемен­ную E2kvpmR17SI и пре­обра­зует счи­тан­ные стро­ки в кодиров­ку Unicode.

Во вто­ром выделен­ном бло­ке с исполь­зовани­ем объ­екта vbscript. regexp выпол­няет­ся поиск такой стро­ки в откры­том фай­ле:

MxOH8pcrlepD3SRfF5ffVTy86Xe41L2qLnqTd5d5R7Iq87mWGES55fswgG84hIRdX74 dlb1SiFOkR1Hh

В перемен­ной Y5t4Ul7o385qK4YDhr хра­нит­ся ука­затель на пер­вый сим­вол най­ден­ной стро­ки в исходном докумен­те.

Об­фусци­рован­ный вре­донос­ный код рас­положен пос­ле обна­ружен­ной нами стро­ки, его раз­мер сос­тавля­ет 16 827 байт.

Из фай­ла счи­тыва­ется информа­ция начиная с бай­та 0x503c , далее декоди­рует­ся по алго­рит­му, который мы раз­берем ниже, и сох­раня­ется в файл %appdata% Microsoft Windows maintools. js . Затем с помощью WScript. Shell выпол­няет­ся JS-скрипт maintools. js с парамет­ром EzZETcSXyKAdF_e5I2i1 .

Да­вай раз­берем алго­ритм декоди­рова­ния и напишем неболь­шую прог­рамму на Python для получе­ния исходно­го JS-скрип­та.

Для удобс­тва чте­ния кода я пере­име­новал перемен­ные. Алго­ритм декоди­рова­ния очень прост. С каж­дым бай­том выпол­няет­ся опе­рация XOR (исклю­чающее «или») с клю­чом, который хра­нит­ся в перемен­ной KEY . Пос­ле каж­дого пре­обра­зова­ния бай­та изме­няет­ся и сам ключ.

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник: xakep.ru

Как хакеры заражают ваш компьютер вирусами теперь, когда они не могут использовать Word и Excel

Наблюдения и советы этой статьи мы подготовили на основании опыта команды опасности в виде вирусов которые могут попасть на наш компьютер без нашего ведома, происходят из многих источников. И все это несмотря на усилия охранных компаний защитить нас, поскольку киберпреступники всегда находят обходные пути.

За последние несколько лет мы смогли убедиться, что эти Нападавшие, среди многих других способов, использовал наш e-mail вложения для распространения вирусов и других типов вредоносных программ. Среди многих программ, используемых для этих целей, те, которые принадлежат Microsoft Офисный пакет был одним из самых распространенных. Как правило, вложения использовались в виде фишинг с вредоносными макросами добраться до наших компьютеров.

Однако это происходит уже много лет, поэтому Microsoft постепенно нашла решение. Это направлено на блокировку этих подозрительных элементов по умолчанию. Одна из основных используемых тактик заключалась в том, чтобы изменить обычные форматы файлов на другие, такие как ISO , RAR или Windows ярлыки LNK , Имейте в виду, что VBA и XL4 макросы — это небольшие программы, созданные для автоматизации повторяющихся задач в Office . Таким образом, злоумышленники использовали их для загрузки своих кодов через вредоносные файлы документов Office.

Microsoft недавно объявила, что положит конец этому злоупотреблению. Он делает это, автоматически блокируя макросы по умолчанию и затрудняя активировать их на компьютерах . Хотя Microsoft потребовалось время, чтобы применить это изменение, блокировка наконец вступила в силу несколько дней назад. Но, как видите, кибер-злоумышленники начинают экспериментировать с другими методами заражения наших компьютеров.

Вот как вирусы теперь попадают на ваш компьютер

По данным отчета компании Proofpoint, вредоносные кампании в последние месяцы показывают изменения в этом отношении. Чтобы дать вам представление, использование макросов и Office сократилось на 66%. Точно так же использование файлов в формате ISO, ZIP или RAR выросло почти на 175%. Аналогично, использование Файлы LNK увеличился примерно на колоссальные 1,675%.

Проблема с этим последним форматом, о котором мы упоминали, заключается в том, что файлы LNK могут использоваться для выполнения практически любой команды, для которой у пользователя есть разрешение. Это включает Скрипты PowerShell которые загружаются и выполняются, в некоторых случаях содержащие вредоносное ПО из удаленных источников. Таким образом, злонамеренное использование этих конкретных форматов значительно увеличилось в последние месяцы. На данный момент это можно считать одним из самых быстрорастущих направлений атаки.

Кроме того, они также обнаружили значительное увеличение использования вложений в формате HTML. Все это для того, чтобы использовать их для внедрения вредоносного контента в хост-систему, что медленно растет. Это означает, что хотя макросы Office стали устаревший метод доставки вирусов , угрозы переместились на другие пути или источники.

Кроме того, чтобы избежать обнаружения антивирусом, многие фишинговые кампании теперь вложения защищены паролем. Это добавляет еще один шаг, который должен предпринять получатель для доступа к вредоносным файлам.

Источник: itigic.com

Почему файлы Microsoft Word могут быть опасными

Файлы Microsoft Office, содержащие встроенные макросы, могут быть опасными. По сути, макросы состоят из компьютерного кода. К счастью, современные версии Office содержат специальные защитные функции, однако, даже они не всегда срабатывают.

Макросы продолжают нести угрозу вашему компьютеру. Конечно же, если вы сами не лезете в клетку ко льву, и не используете файлы с макросами, то и опасаться вам нечего.

Что же такое макрос?

Документы Microsoft Word, Excel, Power Point и других программ могут содержать встроенный код, написанный на компьютерном языке VBA (Visual Basic for Applications).

Вы можете записать свой собственный макрос, используя встроенную функцию их записи. Она позволяет автоматизировать некоторые задачи. Таким образом, в будущем у вас будет возможность проделывать одну и ту же работу, попросту запустив макрос. Если вы самостоятельно написали макрос, то бояться нечего.

Однако злоумышленники могут написать код, который способен причинить вред. Затем, файл с внедренным макросом может быть выложен в интернете, угрожая безопасности пользователей.

Почему макросы могут нанести вред?

Вы, наверное, удивляетесь, что специализированный язык для ускорения работы Office может причинить вред, но, это действительно так. Например, используя команды VBA Shell документ может запустить определенные программы, а команда VBA Kill способна удалить файл на жестком диске компьютера.

После того, как злоумышленники загружают вредный макрос в файл, они могут установить его автоматический запуск при открытии документа при помощи «AutoExec» или «AutoOpen». В этом случае, вирусный код начнет действовать сразу же, после его открытия.

Возможно, вы удивлены тем, что такое вредоносное поведение возможно в Office. На самом деле макросы были добавлены в программу еще в 90-х годах, когда компания не слишком заботилась о безопасности, а Интернет еще не был домом для вредоносных документов. К сожалению, VBA не были разработаны с учетом безопасности, аналогично с большим количеством функций в Adobe PDF Reader.

Вредные макросы в действии

Одним из наиболее известных вирусов-макросов является Мелисса, родом из 1999 года. Она была представлена как обычный документ, содержащий определенный макрос. Когда файл открывали с помощью Office 97 или Word 2000, макрос автоматически заходил в Outlook, выбирал первые 50 профилей пользователей в адресной строке, и отсылал им копию документа, который содержал этот вирус. Как и ожидалось, большинство пользователей открывали этот документ, тем самым продолжая передавать вирус по сети своих профилей.

Другим примером является проблема с макросом Wazzu, который мог переставить слова местами в документе случайным образом.

Этот макрос сделал намного больше вреда, когда, был внедрен стандартным в программу в качестве доверенного. Сейчас, конечно же, его там нет.

Как Microsoft Office борется с макросами-вирусами

Отметим, что Microsoft обеспокоилась проблемами с макросами. В программе 2003 года была добавлена функция безопасности макросов. Так, лишь макросы, с установленным знаком доверенности могли запускаться программой.

Современные версии Office имеют еще больше ограничений. В версии 2013 года, макросы отключены по умолчанию, и при их использовании всплывает сообщение о невозможности запуска.

Как защитить себя

Для того, чтобы обезопасить себя, можно отключить возможность использования функции макросов в программе, чтобы вредоносные вирусы не запускались при ваших действиях. В целом, мы советуем пользоваться лишь теми макросами, компаниям-создателям которых вы полностью доверяете. И, ни в коем случае не отключайте встроенную функцию защиты макросов.

Макросы, как и множество других программ, могут быть использованы как для добра, так и для зла. Организации могут использовать их для ускорения работы. Поэтому, запускайте лишь те макросы, в которых вы уверены на все 100%.

Источник: webtun.com