Từ khi các hình thức phạm tội trên mạng xuất hiện ngày càng nhiều, những kỹ thuật truyền thống trở nên bí ẩn hơn khi khai thác các công cụ và giao thức chuẩn vốn thường không được để ý nhiều.
Các nhà nghiên cứu tại nhóm Talos của Cisco vừa phát hiện ra một chiến dịch tấn công phát tán tập tin Microsoft Word có malware, thực thi đoạn mã trên máy bị tấn công mà không cần bật Macros hay ảnh hưởng tới bộ nhớ.
Kỹ thuật thực thi đoạn mã trên MSWord không cần Macro được miêu tả bởi 2 nhà nghiên cứu đến từ Sensepost là Etienne Stalmans và Saif El-Sherei, sử dụng tính năng tích hợp sẵn trong MS Office gọi là Dynamic Data Exchange (DDE) để thực thi.
Tập tin sử dụng giao thức DDE vốn dùng để chia sẻ dữ liệu
Giao thức DDE là một trong những phương pháp Microsoft cho phép 2 ứng dụng chia sẻ cùng một dữ liệu. Các ứng dụng dùng giao thức này để truyền dữ liệu một lần và tiếp tục trao đổi, theo đó ứng dụng gửi cập nhật tới nhau khi có dữ liệu mới.
Hàng ngàn ứng dụng đang dùng giao thức DDE, trong đó có Excel, MS Word, Quattro Pro và Visual Basic.
Kỹ thuật khai thác mà các nhà nghiên cứu mô tả không hề hiển thị cảnh báo tới nạn nhân, ngoại trừ việc hỏi họ có muốn thực thi ứng dụng trong lệnh hay không. Tuy nhiên, cảnh báo này cũng có thể bị “sửa đổi cú pháp”.
MS Word DDE đã bị khai thác trên thực tế
Theo mô tả của Cisco, kỹ thuật này đã được hacker khai thác, nhắm tới một số tổ chức bằng cách dùng email giả mạo của SEC (Ủy ban giao dịch chứng khoán).
“Email có chứa tập tin nhiễm độc [MS Word] có thể mở ra quy trình nhiễm độc nhiều giai đoạn phức tạp, dẫn tới nhiễm malware DNSMessenger”, các nhà nghiên cứu Talos nói.
Đầu tháng 3, các nhà nghiên cứu tại Talos đã phát hiện kẻ tấn công phát tán DNSMessenger - một trojan truy cập từ xa nội trú (fileless) sử dụng truy vấn DNS để thực thi lệnh PowerShell nhiễm độc trên máy nạn nhân.
Cảnh báo hướng người dùng tới một link khác
Khi mở ra, nạn nhân nhận được thông báo rằng tập tin chứa link tới tập tin ngoài và hỏi quyền cho phép hoặc từ chối hiển thị nội dung đó.
Nếu cho phép, tập tin nhiễm độc sẽ giao tiếp với nội dung được kẻ tấn công host để lấy lại đoạn mã sau đó thực thi đoạn mã này để bắt đầu lây nhiễm malware DNSMessenger.
“Thú vị là DDEAUTO mà tập tin này dùng để lấy đoạn mã được host trên 1 trang web của bang Louisiana, có lẽ đã bị tấn công và dùng cho mục đích này”.
Làm sao để phát hiện tấn công MS Word DDE?
Đáng lo hơn là MIcrosoft không cho đây là một vấn đề bảo mật mà theo họ giao thức DDE là tính năng không thể bị xóa bỏ nhưng có thể được cải thiện để cảnh báo tốt hơn trong tương lai.
Dù không có cách trực tiếp nào để tắt thực thi đoạn mã DDE nhưng người dùng có thể chủ động kiểm tra lịch sử sự kiện để xem có bị khai thác không.
Hướng dẫn từ NVISO để phát hiện máy có bị malware tấn công không
Ngoài ra, các nhà nghiên cứu tại NVISO Labs cũng đưa ra 2 quy luật để phát hiện DDE trong tập tin Office Open XML. https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/