Эксплойты для Microsoft Word научились проникать через антивирусы

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
Известная цепочка эксплойтов, использовавшаяся для распространения кейлоггера Agent Tesla, модифицирована таким образом, чтобы не вызывать реакции у стандартных антивирусов. Из 58 антивирусных продуктов на вредоносный документ отреагировали только два.

DOCX, RTF, далее везде

Киберпреступники развернули целую инфраструктуру для распространения нескольких видов вредоносного ПО, используя два широко известных эксплойта для Microsoft Word - CVE-2017-0199 и CVE-2017-11882. На данный момент она используется для заражения пользовательских систем вредоносными программами Agent Tesla, Loki и Gamarue. Все три вредоносных семейства способны красть информацию и лишь у Loki отсутствуют функции удалённого управления.

Атака начинается с электронного письма со вложенным документом Microsoft Word (DOCX), в котором содержатся функции скачивания и открытия ещё одного файла - на этот раз, RTF, вместе с которым в систему загружаются вредоносные копоненты. RTF-файл антивирусы в основном игнорируют: только два из 58 антивирусных продуктов пометили его как вредоносный или подозрительный, - AhnLab-V3 и Zoner.

Причина такой «скрытности» лежит в особенностях формата RTF и его поддержки встраиваемых объектов через протокол Object Linking and Embedding (OLE). RTF использует большое количество контрольных слов для описания содержания контента.

Обычные парсеры RTF обычно игнорируют всё, что не могут опознать. В результате получается почти идеальная комбинация, чтобы скрывать код эксплойта. Для ее применения никаких настроек в Microsoft Word пользователю менять не надо - то есть даже активировать макросы не понадобится.

Известные эксплойты для MS Word перестали вызывать реакцию стандартных антивирусов

Что касается распространяемого таким методом вредоносного ПО, то Agent Tesla и Loki представляют собой инструменты для кражи данных с пользовательского компьютера. Причём Agent Tesla рекламируется как легальный инструмент, хотя у экспертов его легальность вызывает большие сомнения.

Gamarue же представляет собой червь, используемый для формирования ботнетов, который также может красть конфиденциальные данные с пользовательских систем.

Скрипт вместо тэга

Чтобы застраховаться от детектирования антивирусами, злоумышленники также применили некоторые методы обфускации, а кроме того, поменяли значения заголовка объекта OLE: как выяснили эксперты фирмы Talos, сразу после заголовка была добавлена строка, которая выглядела как тэг шрифта, однако на деле оказалась эксплойтом для уязвимости CVE-2017-11882, вызывающей нарушения содержимого памяти в Microsoft Office.

Тот же код использовался в других кампаниях.

«Интересный и очень опасный метод, использующий особенности легального ПО, которые даже нельзя назвать в строгом смысле уязвимостями, - говорит Георгий Лагода, генеральный директор компании SEC Consult Services. - Пока разработчики антивирусов не разберутся, как бороться с этим методом обхода детектирования, потребуется вручную, всеми доступными способами проверять источник документов в электронной почте. Кроме того, документы обычно не требуют загрузки внешних ресурсов, поэтому, частью решения может быть запрет сетевой активности данным программам, либо открытие документов в изолированной среде без доступа в интернет».