AP vs DDE & macros

Доброго вечора, панове.

Ми продовжуємо фіксувати активні спроби по доставці шкідливого коду через документи із DDE.

Не дивлячись на те, що поки це відлуння кампаній, payload яких націлені на інші країни,

ми повинні бути готовими до спроби використання DDE у цільових атаках на українські організації.

Також, варто звернути увагу, що експлуатація DDE поширюється не лише на Word та Excel, але й на Outlook (запрошення або пересилка повідомлення) та PowerPoint.

 

Вирішив поділитися з вами прикладами правил Access Protection для захисту від DDE та макросів.

Мої політики є оптимізованою версією запропонованих інженерами McAfee і будуть корисні перш за все користувачам McAfee VSE/ENS.

Але, якщо у вас в організації впроваджено інше рішення для захисту кінцевих точок – спробуйте реалізувати по аналогії.

Для тих, хто вже реалізував захист за рахунок групових політик – переконайтеся, що ви врахували усі шляхи (system32, sysWOW64).

 

Чому виникає потреба дописати пару додаткових правил?

Я вже давно рекомендую блокувати створення та запуск нових *.exe файлів у каталозі профілю. Це універсальний захист від 90% атак.

Але таке правило підходить далеко не всім, тому ось вам приклад як заблокувати спробу довантаження шкідливого коду через DDE або макрос у документі.

Нагадую принцип активації приманки DDE/macros

Схема атаки DDE/macro_powershell:

email > .doc > WINWORD > CMD > powershell > GET ... > %temp%\*.exe

Головна ідея правил, які я хочу вам запропонувати, це блокувати запуск дочірніх процесів для додатків MS Office.

Правила Access Protection:

Перше правило забороняє додаткам MS Office виклик CMD.exe

За нормальних умов створення/редагування документу не повинне призводити до передачі команд на CMD.

(!) важливий момент – зверніть увагу, що додатки можуть бути прописані по імені, а процес, який забороняємо викликати – через Sys* (щоб врахувати обидва каталоги)

Зауважте також, що це правило дозволяє блокувати макроси націлені на виклик не лише powershell але й WSCript.exe (якщо ви не дезактивували його через реєстр)

Правило #1 для VSE

Name: _DDE_BLK1(cmd) 
Process to include: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Processes to exclude: -
File or folder name to block: C:\Windows\Sys*\cmd.exe
File actions to prevent:
+ Read
+ Write
+ Execute

Друге правило про всяк випадок, якщо буде знайдено спосіб виклику PowerShell без залучення CMD.

(!) знову важливий момент – а процес, який забороняємо викликати – через повний шлях із двома символами підстановки * (щоб врахувати обидва каталоги sys та різні версії)

Правило #2 для VSE

Name: _DDE_BLK_2(ps)
Process to include: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Processes to exclude: -
File or folder name to block: C:\Windows\Sys*\WindowsPowerShell\*\powershell.exe
File actions to prevent:
+ Read
+ Write
+ Execute

Одне правило для ENS

Name:  _DDE_BLK
Executables: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Subrule: _BLK_child_proc 
Operations:
+ Write
+ Execute
+ Read
Targets: (include)
C:\Windows\Sys*\cmd.exe
C:\Windows\Sys*\WindowsPowerShell\*\powershell.exe

Також нагадую інші способи захисту від використання приманок типу MS Office:

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Будьте уважні та обережні!

VR

Tags: , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: