Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Оле-оле-оле!

Прочитали: 5849 Комментариев: 56 Рейтинг: 273

22 августа 2016

Кто не знает знаменитой кричалки? Знакома она и вирусописателям, но вот применяют они ее вовсе не по назначению.

OLE (англ. Object Linking and Embedding) — технология внедрения объектов в документы и иные объекты, разработанная корпорацией Microsoft, позднее переименованная в ActiveX.

OLE позволяет передавать часть работы одной программы (например, преобразования данных) к другой и возвращать результаты назад. Например, установленная на персональном компьютере издательская система может послать некий текст на обработку в текстовый редактор, либо некоторое изображение в редактор изображений с помощью OLE-технологии.

OLE может быть использована при передаче данных между различными несвязанными между собой системами посредством интерфейса переноса, а также при выполнении операций с буфером обмена.

https://ru.wikipedia.org/wiki/Object_Linking_and_Embedding

Интересная технология, позволяющая наладить совместную работу различных программ, опираясь на единый интерфейс взаимодействия. Но универсальность внедрения задач в некие широко используемые решения – это еще и подарок для злоумышленников. Технология является частью Microsoft Office и может использоваться для внедрения вредоносного VBScript- или JavaScript-кода в документы, которые в дальнейшем будут рассылаться потенциальным жертвам.

Вредоносное ПО (определяющееся Dr.Web как VBS.DownLoader.663/VBS.DownLoader.648) использует легитимный функционал ссылок на объекты Office и OLE-объекты, предназначенные для доставки вредоносного ПО в систему жертвы. Для внедрения вредоносного ПО используется рассылка документов, созданных с учетом приемов социальной инженерии – пользователь должен разрешить использование объекта внутри документа Office.

В документ вставлена огромная иконка, по которой нужно кликнуть для «верификации вручную», чтобы разблокировать контент. Нажатие на нее приведет к появлению всплывающего окна, запрашивающего разрешение на запуск JavaScript или VBScript.

#drweb

https://xakep.ru/2016/06/16/microsoft-ole-for-malware

Опасность заключается в том, что хотя эта атака очень похожа атаку с применением вредоносных макросов, но макросы большинство пользователей уже умеет отключать, в то время как с технологией OLE, особенно в такой форме, мало кто знаком, что и приводит к успеху злоумышленников.

Вредоносное ПО использует шифрование, что по замыслу киберпреступников должно затруднить обнаружение вредоносных объектов.

Со стороны злоумышленников это уже не первый «подход к снаряду» с использованием встроенных возможностей атакуемых программ. Так, для MS Office ранее активно использовались возможности встроенного языка Visual Basic for Applications. В чем опасность данной атаки?

Апологеты Linux считают, что переход на эту ОС позволит решить все проблемы с вредоносным ПО. Загвоздка в том, что при этом для полноценной работы проходится запускать в эмуляторе Windows-программы – тот же MS Office. И при определенных условиях вредоносное ПО, созданное для работы внутри программы и использующее ее возможности, может стать кроссплатформенным. Подобные случае уже известны – вспомнить хотя бы Java.Adwind.3, написанный на Java, что и сделало его кроссплатформенным. Этот бэкдор работал на Windows, OS Х, Linux, Android, и все, что ему требовалось – установленный JRE (Java runtime environment). Для кроссплатформенного ПО возможности были впечатляющими – скачивание, обновление и исполнение вредоносного ПО, показ уведомлений, работа с сетевыми адресами (URL). При этом функционал мог быть расширен – архитектура бэкдора позволяла добавлять новые возможности с помощью плагинов. #безопасность #технологии

Антивирусная правДА! рекомендует

Злоумышленники постоянно ищут возможности обхода антивирусов. Поэтому:

  • Антивирус должен защищать все используемые ОС. Даже если специально созданное для какой-либо платформы вредоносное ПО немногочисленно, не факт, что на ней нельзя будет запустить опасную программу, предназначенную для иной ОС (не говоря о возможности распространения через расшаренные папки).

    Microsoft намерена включить подсистему Linux для Windows - Windows Subsystem for Linux -(WSL) в Windows 10. Это не эмулятор и не виртуальная машина, а полноценный терминал Linux.

    Исполняемые файлы подсистемы появились в ОС начиная с Windows 10 Insider Preview Build 14251, для использования она стала доступна в Insider Preview Build 14316, а для всех пользователей Windows 10 она станет доступна с обещанным Microsoft большим июньским обновлением, т. е. уже в этом месяце

    https://xakep.ru/issues/xa/209

  • Установить и постоянно обновлять антивирус – недостаточно. Для защиты нужно использовать наиболее функциональное антивирусное решение класса «комплексная защита». В его состав должны обязательно входить: проверка трафика до его получения клиентским ПО, внедрение драйверов перехвата обращений к объектам защищаемой системы. В случае решений Dr.Web это Dr.Web Security Space.
  • Опытные пользователи должны внести изменения в настройки приложений, подверженных атаке.

Для защиты от таких атак специалисты рекомендуют внести следующие изменения в реестр:

HKCUSoftwareMicrosoftOffice< Office Version >< Office application >SecurityPackagerPrompt

Значение < Office Version > может быть равно 16.0 (Office 2016) ; 15.0 (Office 2013) ; 14.0 (Office 2010) ; или 12.0 (Office 2007). Значение < Office application > — это имя конкретного приложения Office, то есть Word, Excel и так далее.

Значение данного раздела реестра должно равняться «2», что будет означать «No prompt, Object does not execute», то есть фактический запрет на выполнение объектов. Значение «1» разрешит пользователю «Prompt from Office when user clicks, object executes», то есть объекты срабатывают по клику, и Office отображает соответственное сообщение. Значение «0», в свою очередь, означает «No prompt from Office when user clicks, object executes», то есть объекты выполняются, но никаких сообщений от Office пользователь не получает.

https://xakep.ru/2016/06/16/microsoft-ole-for-malware/

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: