A medida que los ciberdelincuentes aparecen cada vez más, las técnicas tradicionales se vuelven más misteriosas al explorar herramientas y protocolos estándar que a menudo se pasan por alto.
Los investigadores del equipo de Cisco Talos descubrieron una campaña de ataque que propaga archivos de Microsoft Word con malware, ejecutando código en una máquina comprometida sin vincular macros ni afectar la memoria.
La técnica de ejecutar código MSWord sin macro es descrita por dos investigadores de Sensepost, Etienne Stalmans y Saif El-Sherei, utilizando funciones integradas de MS Office llamadas Dynamic Data Exchange (DDE) para su aplicación.
El archivo usa el protocolo DDE, que se usa para compartir datos
El protocolo DDE es uno de los métodos de Microsoft que permite que dos aplicaciones compartan los mismos datos. Las aplicaciones utilizan este protocolo para transferir datos una vez y continuar el intercambio, mediante el cual la aplicación se envía actualizaciones entre sí cuando hay nuevos datos disponibles.
Miles de aplicaciones utilizan el protocolo DDE, incluido Excel, MS Word, Quattro Pro y Visual Basic .
La técnica de minería descrita por los investigadores no muestra advertencias a las víctimas, excepto para preguntar si quieren ejecutar la aplicación a cargo. Sin embargo, esta advertencia también puede ser ‘sintaxis modificada’.
MS Word DDE se exploró en la práctica
Según la descripción de Cisco, esta técnica ha sido explotada por piratas informáticos, dirigidos a varias organizaciones que utilizan correos electrónicos falsos de la SEC (Securities Trading Commission).
‘Correos electrónicos que contienen archivos maliciosos [MS Word] puede abrir un proceso complicado de envenenamiento, lo que lleva a una infección de malware DNSMessenger ‘, dijeron los investigadores de Talos.
A principios de marzo, los investigadores de Talos descubrieron que DNSMessenger, un usuario de acceso remoto remoto, utilizó una consulta de DNS para ejecutar un comando de PowerShell envenenado en la máquina de la víctima.
Las alertas dirigen a los usuarios a otro enlace
Cuando se abre, la víctima recibe un mensaje de que el archivo contiene un enlace al archivo externo y solicita permiso para denegar o denegar el contenido.
Si se permite, el archivo infectado se comunicará con el contenido del host atacante para recuperar el código y luego ejecutarlo para iniciar la infección de malware de DNS.
“Curiosamente, el DDEAUTO que utiliza este archivo para obtener el código está alojado en un sitio web del estado de Luisiana, puede haber sido atacado y utilizado para este propósito”.
¿Cómo detectar un ataque DDE de MS Word?
Más preocupante es que MIcrosoft no considera que esto sea un problema de seguridad, pero según ellos, el protocolo DDE es una característica que no se puede excluir, pero que se puede mejorar para advertirle mejor en el futuro.
Aunque no existe una forma directa de deshabilitar la ejecución del código DDE, los usuarios pueden verificar activamente el historial de eventos para ver si ha sido explotado.
Instrucciones de NVISO para detectar si el dispositivo ha sido atacado por malware
Además, los investigadores de NVISO Labs también introdujeron 2 reglas para detectar DDE en el archivo Office Open XML.https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/
Intercambio de datos de ejecución de código remoto dinámico
A medida que aparecen más y más ciberdelincuentes, las técnicas tradicionales se vuelven más misteriosas al explorar herramientas y protocolos estándar que a menudo se pasan por alto.
Los investigadores del equipo de Cisco Talos descubrieron una campaña de ataque que propaga archivos de Microsoft Word con malware, ejecutando código en una máquina comprometida sin vincular macros ni afectar la memoria.
La técnica de ejecutar código MSWord sin macro es descrita por dos investigadores de Sensepost, Etienne Stalmans y Saif El-Sherei, utilizando funciones integradas de MS Office llamadas Dynamic Data Exchange (DDE) para su aplicación.
El archivo usa el protocolo DDE, que se usa para compartir datos
El protocolo DDE es uno de los métodos de Microsoft que permite que dos aplicaciones compartan los mismos datos. Las aplicaciones utilizan este protocolo para transferir datos una vez y continuar el intercambio, mediante el cual la aplicación se envía actualizaciones entre sí cuando hay nuevos datos disponibles.
Miles de aplicaciones utilizan el protocolo DDE, incluido Excel, MS Word, Quattro Pro y Visual Basic .
La técnica de minería descrita por los investigadores no muestra advertencias a las víctimas, excepto para preguntar si quieren ejecutar la aplicación a cargo. Sin embargo, esta advertencia también puede ser ‘sintaxis modificada’.
MS Word DDE se exploró en la práctica
Según la descripción de Cisco, esta técnica ha sido explotada por piratas informáticos, dirigidos a varias organizaciones que utilizan correos electrónicos falsos de la SEC (Securities Trading Commission).
‘Correos electrónicos que contienen archivos maliciosos [MS Word] puede abrir un proceso complicado de envenenamiento, lo que lleva a una infección de malware DNSMessenger ‘, dijeron los investigadores de Talos.
A principios de marzo, los investigadores de Talos descubrieron que DNSMessenger, un usuario de acceso remoto remoto, utilizó una consulta de DNS para ejecutar un comando de PowerShell envenenado en la máquina de la víctima.
Las alertas dirigen a los usuarios a otro enlace
Cuando se abre, la víctima recibe un mensaje de que el archivo contiene un enlace al archivo externo y solicita permiso para denegar o denegar el contenido.
Si se permite, el archivo infectado se comunicará con el contenido del host atacante para recuperar el código y luego ejecutarlo para iniciar la infección de malware de DNS.
“Curiosamente, el DDEAUTO que utiliza este archivo para obtener el código está alojado en un sitio web del estado de Louisiana, puede haber sido atacado y utilizado para este propósito”.
¿Cómo detectar un ataque DDE de MS Word?
Lo más preocupante es que MIcrosoft no considera que esto sea un problema de seguridad, pero según ellos, el protocolo DDE es una característica que no se puede excluir, pero que se puede mejorar para advertirte mejor en el futuro.
Aunque no existe una forma directa de deshabilitar la ejecución del código DDE, los usuarios pueden verificar activamente el historial de eventos para ver si ha sido explotado.
Instrucciones de NVISO para detectar si el dispositivo ha sido atacado por malware
Además, los investigadores de NVISO Labs también introdujeron 2 reglas para detectar DDE en el archivo Office Open XML.https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/