Un trend in crescita: i nuovi malware basati su DDE di Office | Quick Heal Security Lab
- MERCOLEDÌ 6 DICEMBRE 2017

Negli ultimi anni abbiamo visto moltissimi attacchi basati sulle macro attraverso l' Object Linking Embedding (OLE)/ file Microsoft Office. Recentemente però, gli attaccanti stanno usando differenti tecniche per diffondere i malware attraverso i file Office: usano un nuovo vettore di attacco chiamato Dynamic Data Exchange (DDE). 

 
DDE è una funzione autorizzata di Microsoft Office che fornisce molteplici metodi di trasferimento dei dati tra una applicazione e l'altra. Una volta che il protocollo di comunicazione è stabilito, non c'è necessità di interazione dell'utente per lo scambio dei dati tra applicazioni diverse. La funzione DDE non è limitata a Word ed Excel, ma è inclusa anche in RTF e in Outlook. 
 
Dettagli tecnici
Questo attacco inizia con una email di spam contenente un documento dannoso come allegato (vedi fig.1)
 
 
L'applicazione Microsoft Word (winword.exe) ad esempio, apre questo allegato ed esegue il codice DDE. L'utente visualizza quindi un prompt che lo avvisa del fatto che il documento contiene alcuni link che potrebbero riferire al recupero di dati da altri file (vedi fig.2)
 
 
Se l'utente clicca su "Yes", visualizzerà un secondo prompt che mostra le informazioni di esecuzione dei dati remoti: se di nuovo l'utente fa clic su "Yes" l'attacco avrà successo (vedi fig.3)
 
 
Se al contrario l'utente clicca su"no" nel primo o nel secondo promt, l'attacco fallirà. 
 
Il malware con il codice DDE esegue "cmd.exe" con PowerShell e altri codici come parametro. PowerShell scarica quindi il payload in background e lo esegue di nascosto. Il payload può contenere qualsiasi tipo di malware. La figura 4 mostra uno dei vari tipi di codice DDE. 
 
 
Per evitare l'individuazione in base alla firma, gli autori del malware usano differenti tecniche di offuscamento, tra le quali:
 
Tecnica di offuscamento 1
Scindere il codice DDE e il codice PowerShell in tag differenti. 
 
 
Tecnica di offuscamento 2 
Codificare il codice PowerSghell con base64
 
 
Tecnica di offuscamento 3
Codificare il codice PowerShell con un valore intero del rispettivo carattere. 
 
 
Ecco la versione decodificata del codice sopra:
 
 
La tecnica di attacco basata sul DDE è molto semplice per gli attaccanti: riteniamo verosimile la possibilità che questo tipo di attacco divverrà in futuro sempre più gettonato.
 
Misure di Prevenzione
  • valuta la disabilitazione di DDE quando non è in uso: per farlo vai sul pulsante di Office, seleziona Opzioni di Excel (la procedura vale anche per le altre applicazioni Office), vai su Centro Protezione, clicca su "Impostazioni Centro Protezione", vai su "Contenuto Esterno" e seleziona "Disattiva aggiornamento automatico dei collegamenti della cartella di lavoro"
  • Non scaricare/aprire allegati che arrivano da fonti sospette o indesiderate
  • Applica tutti gli aggiornamenti di sicurezza consigliati e le patch per il tuo Sistema Operativo
Indicatori di compromissione
53c1d68242de77940a0011d7d108c098
106776A1A0F1F15E17C06C23CBFE550E
31362967C1BFE285DDC5C3AB27CDC62D