Κυριακή, 29 Μαρτίου, 15:38
Αρχική security Το μητρώο των Windows βοηθά στην εύρεση κακόβουλων Office εγγράφων

Το μητρώο των Windows βοηθά στην εύρεση κακόβουλων Office εγγράφων

Εάν ένας υπολογιστής Windows μολυνθεί και προσπαθείτε να βρείτε την πηγή της μόλυνσης, ψάξτε και στα κακόβουλα έγγραφα του Microsoft Office στα οποία έχει επιτραπεί να τρέχουν στον υπολογιστή.

Office

Τα Ransomware,τα RATs και τα Trojans που κλέβουν πληροφορίες διανέμονται συνήθως μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing email) που περιέχουν έγγραφα Word και Excel με κακόβουλες μακροεντολές.

Όταν ένας χρήστης ανοίγει ένα από αυτά τα έγγραφα στο Microsoft Office, ανάλογα με την προστασία του εγγράφου ή εάν το έγγραφο περιέχει μακροεντολές, το Office περιορίζει τη λειτουργικότητα του εγγράφου, εκτός εάν ο χρήστης κάνει κλικ στα κουμπιά “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου”.

Όταν ένας χρήστης ενεργοποιεί μια συγκεκριμένη δυνατότητα όπως επεξεργασία ή μακροεντολές, το έγγραφο θα προστεθεί ως αξιόπιστο έγγραφο στο υποκλειδί TrustRecords κάτω από τα ακόλουθα κλειδιά μητρώου, ανάλογα με το αν πρόκειται για έγγραφο Word ή Excel:

Αυτό επιτρέπει στο Microsoft Office να θυμάται την απόφαση που έλαβε ένας χρήστης και να μην την επαναφέρει ξανά στο μέλλον.

Αυτό σημαίνει επίσης ότι εάν ένας χρήστης επέτρεψε την επεξεργασία ή τις μακροεντολές σε ένα έγγραφο πατώντας το κατάλληλο κουμπί, το Office θα θυμάται αυτή την απόφαση την επόμενη φορά που θα ανοίξετε το έγγραφο και δεν θα σας το ζητήσει ξανά.

Τα καλά νέα είναι ότι μπορούμε να χρησιμοποιήσουμε αυτές τις πληροφορίες προς όφελός μας για να βρούμε έγγραφα Word και Excel με μακροεντολές που έχουν ενεργοποιηθεί στον υπολογιστή.

Εμπιστοσύνη στα έγγραφα του Microsoft Office

Για να δείξουμε πώς ένα έγγραφο γίνεται ένα αξιόπιστο έγγραφο, ας προχωρήσουμε στα βήματα ανοίγματος ενός πραγματικού εγγράφου του Word με κακόβουλες μακροεντολές που διανεμήθηκαν σε μια καμπάνια phishing.

Δεδομένου ότι ο απώτερος στόχος του hacker είναι να ενεργοποιήσετε μακροεντολές στο έγγραφο, συνήθως εμφανίζουν ένα μήνυμα αφού ο χρήστης κάνει κλικ στο κουμπί “Ενεργοποίηση περιεχομένου”, ώστε να εκτελεστούν μακροεντολές και να εγκατασταθεί το κακόβουλο πρόγραμμα στον υπολογιστή.

Σε αυτό το συγκεκριμένο παράδειγμα, το κακόβουλο έγγραφο προστατεύεται, πράγμα που σημαίνει ότι δεν μπορεί να γίνει επεξεργασία έως ότου ένας χρήστης κάνει κλικ στο κουμπί “Ενεργοποίηση επεξεργασίας”. Επιπλέον, εάν προστατεύεται ένα έγγραφο, ο χρήστης πρέπει να ενεργοποιήσει την επεξεργασία πριν να μπορέσει να ενεργοποιήσει τις μακροεντολές.

Όταν ένας χρήστης κάνει κλικ στο ‘Ενεργοποίηση επεξεργασίας’, η πλήρης διαδρομή προς το έγγραφο θα προστεθεί ως τιμή κάτω από το κλειδί HKEY_CURRENT_USER\Software\Microsoft\Office\[office_version]\Word\Security\Trusted Documents\TrustRecords.

Αυτό περιέχει ξεχωριστές τιμές για κάθε έγγραφο που έχει “εμπιστευτεί” ο χρήστης, είτε έχει γίνει κλικ στο κουμπί Ενεργοποίηση επεξεργασίας ή Ενεργοποίησης περιεχομένου.

Τα δεδομένα μιας δημιουργημένης τιμής θα αποτελούνται από μια χρονική σήμανση, κάποιες άλλες πληροφορίες και θα τελειώνουν με τέσσερα byte που καθορίζουν “ποια δράση έχει εμπιστευθεί”. Σε αυτήν την περίπτωση, κάναμε κλικ στην επιλογή “Ενεργοποίηση επεξεργασίας”, ώστε να οριστούν τα τέσσερα byte σε 01 00 00 00.

Τώρα που το έγγραφο έχει ενεργοποιηθεί για επεξεργασία, το Word θα προτρέψει τον χρήστη εάν θέλει να ενεργοποιήσει τις μακροεντολές κάνοντας κλικ στο κουμπί “Ενεργοποίηση περιεχομένου” (Enable Content).

Εάν ένας χρήστης κάνει κλικ στο κουμπί “Ενεργοποίηση περιεχομένου”, το Office θα ενημερώσει το TrustRecord για το έγγραφο, υποδεικνύοντας ότι έχουν επιτραπεί οι μακροεντολές σε αυτό το έγγραφο και πάντα θα επιτρέπεται να προχωρήσουμε.

Αυτό γίνεται με την αλλαγή των τελευταίων τεσσάρων ψηφίων του TrustRecord του εγγράφου σε FF FF FF 7F όπως φαίνεται παρακάτω.

Η χρήση των αξιόπιστων εγγράφων δεν ισχύει μόνο για το Word αλλά και για άλλες εφαρμογές του Office. Για παράδειγμα, εάν ο χρήστης κάνει κλικ στην επιλογή Ενεργοποίηση επεξεργασίας ή Ενεργοποίηση περιεχομένου σε υπολογιστικό φύλλο Excel, θα δημιουργηθεί ένα TrustRecord κάτω από το HKEY_CURRENT_USER\Software\Microsoft\Office\[office_version]\Excel\Security\Trusted Documents\ όπως φαίνεται παρακάτω.

Βάζοντας τα όλα μαζί

Τώρα γνωρίζουμε ότι κάθε φορά που κάποιος χρήστης κάνει κλικ στο “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου”, το Microsoft Office θα προσθέσει τη διαδρομή στο έγγραφο ως τιμή μητρώου κάτω από το κλειδί TrustRecords του προγράμματος.

Γνωρίζουμε επίσης ότι αν τα τελευταία τέσσερα bytes των δεδομένων αξίας των αξιόπιστων εγγράφων έχουν οριστεί σε FF FF FF 7F, αυτό σημαίνει ότι οι χρήστες έχουν ενεργοποιήσει μακροεντολές στο έγγραφο, το οποίο είναι ένα πολύ κοινό σύμβολο για να μολυνθεί ένας υπολογιστής.

Χρησιμοποιώντας αυτές τις πληροφορίες, μπορούμε να ελέγξουμε για πιθανά κακόβουλα έγγραφα των οποίων οι μακροεντολές έχουν ενεργοποιηθεί ελέγχοντας τις τιμές κάτω από τα παρακάτω κλειδιά και στη συνέχεια συλλέγοντας τα έγγραφα για περαιτέρω εγκληματικές ενέργειες.


Αυτή η μέθοδος είναι ιδιαίτερα χρήσιμη για τον εντοπισμό των μολύνσεων Emotet, TrickBot, Ransomware ή RAT.

Εκκαθάριση αξιόπιστων εγγράφων

Καθώς το TrustRecords θυμάται την ενέργεια ενός χρήστη για πάντα και θα επέτρεπε την αυτόματη εκτέλεση μακροεντολών σε ένα έγγραφο που είχε προηγουμένως ενεργοποιηθεί, είναι καλύτερο τα αξιόπιστα έγγραφα να αφαιρούνται από το μητρώο σε τακτά χρονικά διαστήματα.

Αυτό μπορεί να γίνει μέσω login scripts, προγραμματισμένων εργασιών ή άλλων μεθόδων.

Οι χρήστες μπορούν επίσης να διαγράψουν τα αξιόπιστα έγγραφά τους μέσω του Trust Center του Microsoft Office, το οποίο είναι προσβάσιμο με την εκτέλεση των παρακάτω βημάτων:

1.Από το Word ή το Excel, κάντε κλικ στο File και στη συνέχεια στο Options.

2.Στο Trust Center, κάντε κλικ στο κουμπί Trust Center Settings.

3.Όταν ανοίξει το Trust Center, κάντε κλικ στην ενότητα Trusted Documents στην αριστερή στήλη.

4.Στην ενότητα “Trusted Documents, κάντε κλικ στο κουμπί Clear και όλα τα αξιόπιστα έγγραφα θα διαγραφούν. Αυτό σημαίνει επίσης ότι αν ανοίξετε ένα παλιό έγγραφο, το Word ή το Excel θα σας ζητήσει να ενεργοποιήσετε ξανά την επιλογή “Ενεργοποίηση επεξεργασίας” ή “Ενεργοποίηση περιεχομένου”.

5.Επαναλάβετε την ίδια διαδικασία στις άλλες εφαρμογές του Office.

6.Κλείστε το Trust Center.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πώς η τηλεργασία κάνει τους χρήστες πιο ευάλωτους στους χάκερς;

Ο Κοροναϊός έχει μολύνει περισσότερους από 450.000 ανθρώπους παγκοσμίως και τώρα οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η πανδημία θα...

Ποιες είναι οι πιο συχνές απειλές για τις επιχειρήσεις;

Κατά τη διάρκεια του 2019, οι μισές περίπου επιχειρήσεις έπεσαν θύμα μιας κυβερνοεπίθεσης ή παραβίασης δεδομένων. Σχεδόν...

Τρεις ακόμα συμμορίες ransomware εκθέτουν δεδομένα θυμάτων σε sites

Τρεις ακόμη συμμορίες ransomware ανακοίνωσαν τη δημιουργία sites, που χρησιμοποιούνται για τη διαρροή κλεμμένων δεδομένων, που ανήκουν...

Zoom: Ποια χαρακτηριστικά του το καθιστούν πιο δημοφιλές από το Skype;

Κάποτε το Skype ήταν η δημοφιλέστερη εφαρμογή βιντεοκλήσεων καθώς την επέλεγε ένα τεράστιο ποσοστό ανθρώπων όταν επρόκειτο να επικοινωνήσουν εξ αποστάσεως. Το...

Το «Control» και άλλα παιχνίδια διαθέσιμα πλέον στο GeForce Now

Η NVIDIA έχει εμπλουτίσει τον κατάλογο των παιχνιδιών που υποστηρίζονται στο GeForce Now, με ένα πλήθος νέων...

Ευπάθεια παράκαμψης VPN ανακαλύφθηκε στο Apple iOS

Μία νέα ευπάθεια «VPN Bypass», η οποία ανακαλύφθηκε πρόσφατα στο Apple iOS, μπλοκάρει την κρυπτογράφηση που πραγματοποιούν...

Εργοδότες παρακολουθούν με λογισμικά επιτήρησης τους υπαλλήλους που δουλεύουν από το σπίτι

Ο κορωνοϊός έχει φέρει νέες συνθήκες στον τομέα της εργασίας. Όλο και περισσότεροι εργαζόμενοι δουλεύουν πλέον από το σπίτι και όλο και...

Microsoft: Κυκλοφόρησε το πρώτο preview του Powershell 7.1 για Windows, Linux και macOS

Η Microsoft κυκλοφόρησε το πρώτο preview του PowerShell 7.1, του εργαλείου αυτοματοποίησης και γραφής γλώσσας για τα Windows, Linux και macOS. Το...

Η Google ανακοίνωσε ζητήματα σχετικά με τις ενημερώσεις του Chrome

Η Google έχει ήδη ανακοινώσει ορισμένες περικοπές στην ανάπτυξη του προγράμματος περιήγησης Chrome και τώρα φαίνεται ότι...

7 τρόποι για να αυξήσετε την ταχύτητα και την αξιοπιστία του Wi-Fi σας!

Τώρα που πολλοί από εμάς είμαστε στο σπίτι συνέχεια ως αποτέλεσμα της πανδημίας του COVID-19, υπερφορτώνουμε το οικιακό μας δίκτυο. Παρακάτω θα...