回覆列表
-
1 # 老鐵侃談
-
2 # 海陽頂端
瀉藥。Windows提供了應用程式間資料傳輸的若干種方法,其中一種就是使用動態資料交換(DDE)協議。在MSWord和MSExcel裡,駭客可以使用DDE來執行命令,具體的做法也很簡單,在這裡我也不教大家了(sohu.com/a/198183929_755612,這兒有具體做法)。Metasploit 裡邊也集有了這個payload 。
假如駭客在文件中嵌入了命令,你會得到如圖所示的提示:
如果駭客選取了VBS或是powershell來執行他的shellcode的話,你有可能會中木馬的。
所以,如果遇到這樣的提示,請謹慎,不要開啟此類文件。另外,注意升級自己的office軟體。
微軟解釋,駭客可以在釣魚郵件攻擊中,傳遞一個特製的檔案並誘導使用者開啟,說服使用者關閉保護模式再同意其他的提醒,藉以散佈惡意程式。
鑑於愈來愈多的駭客濫用微軟Windows中的動態資料交換(Dynamic Data Exchange,DDE)協議來散佈惡意程式,微軟發表了4053440安全通報,以協助使用者減輕DDE攻擊所帶來的威脅。金山毒霸幾周前截獲有攻擊者在Office文件中嵌入特殊處理的圖片物件,欺騙使用者雙擊下載病毒。
DDE協定是微軟Windows與Office中用以於不同程式中交換資料的協定之一,它在不同的程式間傳送分享資料的訊息,並利用共享記憶體來交換資料,允許一次性的資料交換或是持續地進行資料同步。
根據微軟的說明,在以電子郵件的攻擊場景中,駭客可傳遞一個特製的檔案並誘導使用者開啟,說服使用者關閉保護模式再同意其他的提醒,藉以散佈惡意程式。
上個月思科(Cisco)旗下的資安團隊Talos才揭露了採用DDE的攻擊手法,另一資安業者Nviso也公佈許多利用DDE植入惡意程式的檔案樣本,上週又有資安業者發現俄國駭客組織Fancy Bear(APT28)亦開始利用DDE來執行攻擊行動。
微軟除了建議使用者不要開啟來路不明的郵件附加檔案之外,也說該公司於Office的登入檔中存放了許多能夠變更產品功能及改善安全性的控制方法,希望使用者能夠多加利用,包括Office 2013與Office 2016。
此外,微軟亦提供指南以協助使用者利用登入編輯程式手動關閉各種Office版本與程式的DDE功能,涵蓋Office 2007、Office 2010、Office 2013與Office 2016上的Excel、Outlook與Word。Windows 10 Fall Creator Update使用者則可透過Windows Defender Exploit Guard的Attack Surface Reduction元件來封鎖基於DDE形式的惡意程式。