為散播勒索軟體與木馬後門,駭客利用 Windows 動態資料交換協定 (DDE) 發動攻擊 2017-11-17

2017年10月ASRC 發現利用微軟 Windows 中的動態資料交換協定(Dynamic Data Exchange,DDE)來散佈惡意程式的惡意 Office 文件有擴散的趨勢,當時已先透過 Softnext & ASRC 資安訊息平台發佈警示訊息。

駭客的攻擊手法是透過寄送偽冒並夾帶 Word 附件的郵件給攻擊目標,在 Word 檔案中並不直接內嵌惡意程式,也不含惡意的巨集或 VBA 的代碼,而是透過 DDE 執行惡意的 PowerShell 指令解碼,執行後才取得第二階段的惡意程式。

下圖為攻擊信件樣本,內含 I_{六位數字}.doc。



點擊Word附檔,跳出是否執行 cmd.exe 的對話框訊息,如下圖。若點選同意開啟,便會開始執行惡意程式。



觀察發現這一波透過惡意 Office 文件做為前導攻擊的背後,其實是為了散播 Locky 勒索軟體與木馬後門。假若使用者警覺心不足,可能因此執行了惡意程式而造成資料被加密的慘劇。建議企業除了建置完善的安全防禦機制外,應提醒使用者切勿開啟來歷不明的郵件檔案。

上一則 回到列表   下一則