Εάν ένας υπολογιστής Windows μολυνθεί και προσπαθείτε να βρείτε την πηγή της μόλυνσης, ψάξτε και στα κακόβουλα έγγραφα του Microsoft Office στα οποία έχει επιτραπεί να τρέχουν στον υπολογιστή.
Τα Ransomware,τα RATs και τα Trojans που κλέβουν πληροφορίες διανέμονται συνήθως μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing email) που περιέχουν έγγραφα Word και Excel με κακόβουλες μακροεντολές.
Όταν ένας χρήστης ανοίγει ένα από αυτά τα έγγραφα στο Microsoft Office, ανάλογα με την προστασία του εγγράφου ή εάν το έγγραφο περιέχει μακροεντολές, το Office περιορίζει τη λειτουργικότητα του εγγράφου, εκτός εάν ο χρήστης κάνει κλικ στα κουμπιά “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου”.
Όταν ένας χρήστης ενεργοποιεί μια συγκεκριμένη δυνατότητα όπως επεξεργασία ή μακροεντολές, το έγγραφο θα προστεθεί ως αξιόπιστο έγγραφο στο υποκλειδί TrustRecords κάτω από τα ακόλουθα κλειδιά μητρώου, ανάλογα με το αν πρόκειται για έγγραφο Word ή Excel:
Αυτό επιτρέπει στο Microsoft Office να θυμάται την απόφαση που έλαβε ένας χρήστης και να μην την επαναφέρει ξανά στο μέλλον.
Αυτό σημαίνει επίσης ότι εάν ένας χρήστης επέτρεψε την επεξεργασία ή τις μακροεντολές σε ένα έγγραφο πατώντας το κατάλληλο κουμπί, το Office θα θυμάται αυτή την απόφαση την επόμενη φορά που θα ανοίξετε το έγγραφο και δεν θα σας το ζητήσει ξανά.
Τα καλά νέα είναι ότι μπορούμε να χρησιμοποιήσουμε αυτές τις πληροφορίες προς όφελός μας για να βρούμε έγγραφα Word και Excel με μακροεντολές που έχουν ενεργοποιηθεί στον υπολογιστή.
Εμπιστοσύνη στα έγγραφα του Microsoft Office
Για να δείξουμε πώς ένα έγγραφο γίνεται ένα αξιόπιστο έγγραφο, ας προχωρήσουμε στα βήματα ανοίγματος ενός πραγματικού εγγράφου του Word με κακόβουλες μακροεντολές που διανεμήθηκαν σε μια καμπάνια phishing.
Δεδομένου ότι ο απώτερος στόχος του hacker είναι να ενεργοποιήσετε μακροεντολές στο έγγραφο, συνήθως εμφανίζουν ένα μήνυμα αφού ο χρήστης κάνει κλικ στο κουμπί “Ενεργοποίηση περιεχομένου”, ώστε να εκτελεστούν μακροεντολές και να εγκατασταθεί το κακόβουλο πρόγραμμα στον υπολογιστή.
Σε αυτό το συγκεκριμένο παράδειγμα, το κακόβουλο έγγραφο προστατεύεται, πράγμα που σημαίνει ότι δεν μπορεί να γίνει επεξεργασία έως ότου ένας χρήστης κάνει κλικ στο κουμπί “Ενεργοποίηση επεξεργασίας”. Επιπλέον, εάν προστατεύεται ένα έγγραφο, ο χρήστης πρέπει να ενεργοποιήσει την επεξεργασία πριν να μπορέσει να ενεργοποιήσει τις μακροεντολές.
Όταν ένας χρήστης κάνει κλικ στο ‘Ενεργοποίηση επεξεργασίας’, η πλήρης διαδρομή προς το έγγραφο θα προστεθεί ως τιμή κάτω από το κλειδί HKEY_CURRENT_USER\Software\Microsoft\Office\[office_version]\Word\Security\Trusted Documents\TrustRecords.
Αυτό περιέχει ξεχωριστές τιμές για κάθε έγγραφο που έχει “εμπιστευτεί” ο χρήστης, είτε έχει γίνει κλικ στο κουμπί Ενεργοποίηση επεξεργασίας ή Ενεργοποίησης περιεχομένου.
Τα δεδομένα μιας δημιουργημένης τιμής θα αποτελούνται από μια χρονική σήμανση, κάποιες άλλες πληροφορίες και θα τελειώνουν με τέσσερα byte που καθορίζουν “ποια δράση έχει εμπιστευθεί”. Σε αυτήν την περίπτωση, κάναμε κλικ στην επιλογή “Ενεργοποίηση επεξεργασίας”, ώστε να οριστούν τα τέσσερα byte σε 01 00 00 00.
Τώρα που το έγγραφο έχει ενεργοποιηθεί για επεξεργασία, το Word θα προτρέψει τον χρήστη εάν θέλει να ενεργοποιήσει τις μακροεντολές κάνοντας κλικ στο κουμπί “Ενεργοποίηση περιεχομένου” (Enable Content).
Εάν ένας χρήστης κάνει κλικ στο κουμπί “Ενεργοποίηση περιεχομένου”, το Office θα ενημερώσει το TrustRecord για το έγγραφο, υποδεικνύοντας ότι έχουν επιτραπεί οι μακροεντολές σε αυτό το έγγραφο και πάντα θα επιτρέπεται να προχωρήσουμε.
Αυτό γίνεται με την αλλαγή των τελευταίων τεσσάρων ψηφίων του TrustRecord του εγγράφου σε FF FF FF 7F όπως φαίνεται παρακάτω.
Η χρήση των αξιόπιστων εγγράφων δεν ισχύει μόνο για το Word αλλά και για άλλες εφαρμογές του Office. Για παράδειγμα, εάν ο χρήστης κάνει κλικ στην επιλογή Ενεργοποίηση επεξεργασίας ή Ενεργοποίηση περιεχομένου σε υπολογιστικό φύλλο Excel, θα δημιουργηθεί ένα TrustRecord κάτω από το HKEY_CURRENT_USER\Software\Microsoft\Office\[office_version]\Excel\Security\Trusted Documents\ όπως φαίνεται παρακάτω.
Βάζοντας τα όλα μαζί
Τώρα γνωρίζουμε ότι κάθε φορά που κάποιος χρήστης κάνει κλικ στο “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου”, το Microsoft Office θα προσθέσει τη διαδρομή στο έγγραφο ως τιμή μητρώου κάτω από το κλειδί TrustRecords του προγράμματος.
Γνωρίζουμε επίσης ότι αν τα τελευταία τέσσερα bytes των δεδομένων αξίας των αξιόπιστων εγγράφων έχουν οριστεί σε FF FF FF 7F, αυτό σημαίνει ότι οι χρήστες έχουν ενεργοποιήσει μακροεντολές στο έγγραφο, το οποίο είναι ένα πολύ κοινό σύμβολο για να μολυνθεί ένας υπολογιστής.
Χρησιμοποιώντας αυτές τις πληροφορίες, μπορούμε να ελέγξουμε για πιθανά κακόβουλα έγγραφα των οποίων οι μακροεντολές έχουν ενεργοποιηθεί ελέγχοντας τις τιμές κάτω από τα παρακάτω κλειδιά και στη συνέχεια συλλέγοντας τα έγγραφα για περαιτέρω εγκληματικές ενέργειες.
Αυτή η μέθοδος είναι ιδιαίτερα χρήσιμη για τον εντοπισμό των μολύνσεων Emotet, TrickBot, Ransomware ή RAT.
Εκκαθάριση αξιόπιστων εγγράφων
Καθώς το TrustRecords θυμάται την ενέργεια ενός χρήστη για πάντα και θα επέτρεπε την αυτόματη εκτέλεση μακροεντολών σε ένα έγγραφο που είχε προηγουμένως ενεργοποιηθεί, είναι καλύτερο τα αξιόπιστα έγγραφα να αφαιρούνται από το μητρώο σε τακτά χρονικά διαστήματα.
Αυτό μπορεί να γίνει μέσω login scripts, προγραμματισμένων εργασιών ή άλλων μεθόδων.
Οι χρήστες μπορούν επίσης να διαγράψουν τα αξιόπιστα έγγραφά τους μέσω του Trust Center του Microsoft Office, το οποίο είναι προσβάσιμο με την εκτέλεση των παρακάτω βημάτων:
1.Από το Word ή το Excel, κάντε κλικ στο File και στη συνέχεια στο Options.
2.Στο Trust Center, κάντε κλικ στο κουμπί Trust Center Settings.
3.Όταν ανοίξει το Trust Center, κάντε κλικ στην ενότητα Trusted Documents στην αριστερή στήλη.
4.Στην ενότητα “Trusted Documents, κάντε κλικ στο κουμπί Clear και όλα τα αξιόπιστα έγγραφα θα διαγραφούν. Αυτό σημαίνει επίσης ότι αν ανοίξετε ένα παλιό έγγραφο, το Word ή το Excel θα σας ζητήσει να ενεργοποιήσετε ξανά την επιλογή “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου”.
5.Επαναλάβετε την ίδια διαδικασία στις άλλες εφαρμογές του Office.
6.Κλείστε το Trust Center.
