Hatalı biçimlendirilmiş veya virüs bulaşmış kelime dokümanları veya katıştırılmış makro virüslü excel e-tablolar

27 Eylül 2016 Güncelleştirmesi: Bugün, kötü amaçlı ofis dosyalarıyla "yeni" bir teknik kullanımını görmeye başladık. Bu dosyalar hala makrolar içeriyor. Dridex çetesi, e-posta yoluyla şifreli ofis dosyalarını göndermeye başladı. E-posta gövdesi, ekteki belgenin her örneğinden farklı şifre içermektedir. Belge şifre olmadan açılmasını veya okunmasını önlemek için şifreli. Bu kötü adamlara 2 kat avantaj sağlıyor. 1. belgelerdeki makroları rutin olarak tarayan çoğu firma filtresini atlar ancak normalde "gizli" veya "gizli" önlemek için e-posta veya ofisler yoluyla iletişim kuran birçok şirket tarafından docs veya Excel e-tablolar gönderen bir şifre taraması yapmaz. Özel "bilgiler yanlış ellere düşüyor. 2.

6 Eylül 2016 güncellendi : Malware'leri bugün yaymak için kullanılan makrolara sahip Microsoft yayıncı dosyalarını görmeye başladık. Ayrıntılar ve düşüncelerim için BURAYA ve ŞEY'e bakın . Maalesef Microsoft'un gözlemcisini Publisher ile (en azından 2007/2010/2013 sürümlerinde, kontrol etmek için 2016 veya 365 erişimim yok) ve makrolara veya katıştırılmış OLE'ye karşı aynı korumayı eklememiş görünüyor gibi görünüyor Aşağıda açıklanan diğer sık kullanılan Office programlarının nesneleri.

Kötü amaçlı yazılımları yaymanın ve sizi etkileyen çok popüler yöntemlerden biri, bozuk veya virüs bulaşmış kelime dokümanları ve gömülü zararlı makrolar içeren excel e-tablolarıyla e- postalardır . Veya Gömülü OLE Nesneleri . Makrolar ve OLE nesneleri iyi şeyler için kullanılabilir ve yoğun bir ofis ortamında ortak görevleri hızlandırmak için kullanılmak üzere tasarlanmıştır. Bu kötü amaçlı makroları kullanan yüzlerce eklenti e-postası örneğini görmek için yalnızca bu blogu incelemek zorundasınız.

Bunları yaymakta olan kötü aktörler, bir kullanıcıyı e-postayı okumak ve eki açmak için korkutacak veya ikna edecek çekici veya korkunç konularla e-postaları kullanıyor. Ortak konulara mahkeme çağrıları, ücretsiz fatura, telefon, internet, gaz, su veya elektrik faturaları dahildir. Microsoft Office Modern sürümleri Office 2010, 2013, 2016 ve Office 365 Makrolar, varsayılan olarak devre dışı bıraktık olduğunu sizin veya şirket olanaklı kılmıştır SÜRECE . Bu kötü amaçlı sözcük belgelerini veya Excel elektronik tablolarını açmak, Makrolar etkinleştirildiyse ve virüs bulaştırmak için windows explorer veya e-posta istemcinizde önizleme yapmak yeterlidir.

Temel kural, ASLA beklemediğiniz sürece bir e-postaya eklenti açılmamalıdır. Şimdi söylenmesi kolay ama uygulamaya koymak oldukça zor, çünkü hepsine e-postayla bağlı dosyalar var. Dostlarımız ve ailelerimiz bize aptalca şeyler yaparak, hatta çocukların veya evcil hayvanların sevimli fotoğraflarını gönderdiklerini sever. Çoğumuz, işin seyrinde veya halihazırda ilişki içinde olduğumuz şirketlerden Word, Excel veya PowerPoint eklerini alıyor. Bu nedenle, bu tür bir kampanyanın birinin bağlanmasını ve enfekte olma ihtimali yüksektir.

Bunların hemen hemen hepsi, para çalacak Dridex bankacılık Truva Atları'nı yaymaktadır . Dridex malware'in farklı sürümleri bu ülkelerdeki belirli ülkeleri ve bankaları hedefliyor ancak uluslararası bankacılığın yaygınlaşmasıyla birlikte, İngiltere ve İngiltere'deki birçok bankanın yanı sıra birçok ABD ve Avrupa bankası da dahil olmak üzere İngiltere'ye özgü sürümleri görüyoruz. Şubat 2016'nın ortalarından itibaren bu dağıtım yöntemi çok kötü bir Locky Ransomware'i

2010, 2013, 2016 ve 365 olan Microsoft Word, Excel ve diğer Microsoft Office programlarının tüm modern sürümleri, web'den indirilen ya da otomatik olarak " korumalı görünümde " bir e-postayla alınan docs, excel dosyaları ve PowerPoint vb. Sözcüklerini açmalıdır. "Bu, gömülü malware'lerin veya makroların görüntülenmesini ve çalışmasını durdurur. Korunan görünümün sizi, ailenizi ve şirketinizi bu tür saldırılardan korumak için tüm ofis programlarında ayarlandığından emin olun

Kesinlikle, kötü adamların düzenlemeyi veya makroları içeriği görmesini sağlamak için verdiği tavsiyeleri yerine getirme.

Kötü amaçlı sözcük belgesini önizlerken veya açtığınızda, boş bir sayfa elde edersiniz veya bu veya benzeri ifade ve resimleri alırsınız. Word 2010, 2013, 2016 veya 365 kullanıyor VE “var Sağlanan korumalı görünümü etkin ve makro etkinleştirmeseniz , o zaman geçerli saldırılardan güvenlidir. Bununla birlikte, böyle bir belge açıldığında sana bulaşabilecek durumda olan kelime veya diğer ofis programlarında bilinmeyen saldırılar kullanan diğer zararlı belgeleri görürüz.

Bu haftaki dokümanlara her hafta, içeriği görmek için düzenleme ve makroları etkinleştirmenizin neden gerekçeli olduğu konusunda yeni mesajlar görüyoruz. Bunlardan herhangi inanmayın ve makroları veya düzenleme etkinleştirmeseniz

Makro güvenlik ayarlarınızı kontrol etmek için Microsoft Office Düğmesini tıklatın, Microsoft Word Seçenekleri'ni tıklatın, Güven Merkezi'ni tıklatın ve sonra Güven Merkezi Ayarları'nı tıklatın.
Makro güvenliği, tüm makroları bildirimsiz olarak Devre dışı bırak olarak ayarlandıysa, tüm makrolar otomatik olarak devre dışı bırakılır. Makroyu etkinleştirmek için aşağıdaki yordamı kullanın.
Güven Merkezi iletişim kutusunda Makro Ayarları'nı ve ardından tüm makroları bildirimle devre dışı bırak'ı tıklayın.
Yeni ayarı uygulamak için Güvenlik Merkezi iletişim kutusunda Tamam'ı tıklatın.
Program seçenekleri iletişim kutusunu kapatmak için Tamam'ı tıklayın.
Dosyayı ve Microsoft Word'ü kapatın. Dosyayı tekrar açın. Şablonun hemen altındaki Doküman Bilgi Çubuğu'nda bir Güvenlik Uyarısı görüntülenir. Makronun çalışmasına izin vermek için İçeriği Etkinleştir'i tıklayın.

Bir e-postayla alınan sözcük belgelerini önce virüsten koruma yazılımınız olmadan taramadan açmayın, ancak kötü amaçlı yazılımları algılamak için bir virüsten koruma yazılımının güncellenmesinin birkaç saat sürebileceğini unutmayın. Ayrıca, hala tarihli veya savunmasız bir kelime sürümü kullanıyorsanız, size herhangi bir işlem yapmadan bulaştıracak kötü amaçlı sözcük belgelerine dikkat edin. Ofis programlarınızı güncel bir sürüme güncellemek ve ofis XP, 2000, 2003 ve 2007'yi kullanmayı bırakmanızın iyi bir nedeni vardır. Eski sürümü kullanmanın riskleri, eski bir sürümü tutmanın kolaylık, avantaj ve maliyetinden kesinlikle daha fazladır. Pek çok kişi ve küçük işletmeler hala Office XP, 2000 ve 2003'ü kullanıyor ve bu çok ciddi bir risk. Bunlar çok güncel ve sizi veya başkalarını kendinizden korumak için herhangi bir güvenlik güncelleştirmesi yok.

Bu kötü niyetli dokümanlarla ofis çevrimiçi kullanarak birkaç test yaptım . Görebildiğim kadarıyla , Office Online'ı kullanarak, bu kötü niyetli sözcük veya gömülü makrolar içeren Excel belgeleriyle mükemmel bir şekilde güvenle karşılaşabilirsiniz. Bir makro içeren bu kötü amaçlı dokümanlardan birini yüklediğinizde, kelime çevrimiçi makro kullanımını desteklemeyen yeni xml biçimine dönüştürür. Hiçbir makro ile Dridex zararlı yazılımının bilgisayarınıza indirilip çalıştırılma riski yoktur .

Kendinizi Office programlarındaki bu istismardan nasıl koruyabilirsiniz.

Güvenliği sağlamak ve bu kötü amaçlı Word veya Excel belgelerinin herhangi birinin katıştırılmış kötü amaçlı makroları kullanmasını ve diğer bilinmeyen saldırıların riskini azaltmasını durdurmak için, sözcük, Excel ve PowerPoint'i buna benzer şekilde ayarlamanız gerekir. Herhangi bir ofis programını (örneğin Word) ayarladığınızda, ayarlar tüm Office programlarına uygulanır.

Aşağıdaki ekran görüntüleri Office 2013 kullanılarak çekilmiştir ancak tüm mevcut sürümler çok benzerdir

Word'ü açın. Dosya, ardından Seçenekler ve ardından Güven Merkezi'ni seçin. Ardından, Güvenlik Merkezi Ayarları'na basın ve aşağıda listelenen ayarların listesini ve seçeneklerini görürsünüz. Bunların tümü varsayılan olmalı ve sizi şu anda yaymakta olan makro zararlı yazılımlara karşı koruyacaktır. Bazı kullanıcılar, ileti çubuğunu tamamen kapatarak ve tüm makroları ve ActiveX'i bildirim olmaksızın engelleyerek Office'i bu varsayılan ayarlardan daha yüksek bir değere ayarlarlar:

Office 2010'da tanıtılan bu ayar, muhtemelen görünümü etkinleştirilmiş olarak korumanıza ve tüm kutuların seçili olduğundan emin olmak için en önemlisidir. Bu, internetten indirilen, e-postayla alınan veya bilgisayarınıza kopyalanan veya bir başparmak sürücüsünde açılan herhangi bir etkin belgeyi onayınız olmadan çalıştıran herhangi bir Office belgesini engeller. E-postayı ve eki okuyabilirsiniz (word doc veya Excel elektronik tablosu) güvenle değiştirebilir, yalnızca düzenleyemez veya videolar veya makrolar gibi katıştırılmış içeriği görüp kullanamazsınız. Dosyanın güvende olduğundan% 100 emin olduğunuzda ve düzenlemeniz gerekiyorsa, sarı uyarı çubuğunda görünen düzenleme veya etkinleştirme düğmesine basabilirsiniz. Word korumalı görünüm

Bu atışta gösterildiği şekilde ayarlamanızı şiddetle önerdiğim ek bir bölüm var. Bu, çeşitli kötü amaçlı yazılım kampanyalarında halihazırda çeşitli bilinen ve bilinmeyen saldırıları kullanarak kullanılan RTF dosyalarının otomatik olarak açılmasını devre dışı bırakmak içindir. Ayrıca, daha eski sözcük belgelerinde yararlanılabilir içeriğin engellenmesini öneriyoruz.

Çünkü Office 2010 öncesi ofise herhangi bir sürümünde makro kötü amaçlı yazılım saldırıları önlemede bu güvenlik açıklarından ve zorluklar şiddetle çağırıyorum ofis yazılımları güncellemek son sürüme ve kendinizi koyarak durdurmak ve diğerlerini tarih yazılımın dışında eski kullanarak, risk altında

Bu bilgilendirici yazı , kuruluş ortamında bu sorunun üstesinden gelmek için grup ilkesinin kullanılması hakkında mükemmel tavsiyeler vermektedir

Hatalı biçimlendirilmiş ve gömülü bir OLE virüsü / Trojan içeren orijinal bir doktora eklenmiş kampanyalar da düzenli olarak görüyoruz. Bu giderilmiştir hangi istismar CVE-2012-0158 kullanıyor MS12-027 ve muhtemelen benzer bir 2013/14 dan istismar ederse korumalı görünüm modunun kapalı ve RTF sonra bu kötü niyetli word belgesi sizi enfekte edecek açılması ve sadece önizleme izin verilir Windows explorer'da veya e-posta istemciniz size enfekte etmek için yeterli olabilir. Office 2010, 2013, 2016 ve 365'te varsayılan olması gereken korunan görünüm modunda açıldığında bu kötü amaçlı sözcük belgelerinin neredeyse tamamı boş görünür .

Güncelleme : bkz BU Microsoft yazı yöntemleri ofis docs gömülü ole nesnelerin kullanımını engellemek için

Şubat 2016'da, şu anda , yamalamış ofis sürümlerinde CVE-2014-1761 kullanımını kullanarak birkaç malspam saldırısı görüyoruz ve makrolar kapalı veya kapalı olmanızın bir önemi yok. Eğer yamanmadıysanız, o zaman enfekte olacaksınız .

Sen izin vermemek için kelime ayarlamanız gerekir RTF dosyaları Word açılan veya önizlemesi ve önlemekOutlook'ta RTF dosyaları önizleme bu bir korunmak için

Mayıs 2016'da, daha geleneksel makro yerine çok daha fazla gömülü OLE nesnesi görüyoruz. Bunlar, Word dokümanındaki bir görüntüyü çift tıklatmaya davet ediyor. Bu görüntülerin birçoğu kasıtlı olarak bulanık, bu nedenle "tam içeriği görmek için bu resmi çift tıklayın" veya "dosyayı düzgün şekilde görüntülemek için çift tıklayın" gibi bir şey söyleyen ifadeyi görüyorsunuz. Bu, otomatik olarak, kötü adamların itmeye karar verdikleri kötü amaçlı yazılımları indirmek için uzaktaki bir siteye bağlanan gömülü bir JavaScript dosyası çalıştıracaktır. Bunların birçoğu Dridex'in bankacılık Truva işi veya çeşitli fıstık aygıtıdır. Bazen katıştırılmış OLE nesnesi, tam zararlı yazılımın kendisidir. Herhangi bir içerik, OLE nesneleri kullanarak WORD ve diğer Microsoft Office programlarına gömülebilir. Buna Java, Flash, PDF, JavaScript (.JS ve .JSE) ve .exe dahildir. Bunların hepsi istismar veya doğrudan kötücül yazılım içerebilir. Korumalı mod , kullanıcıyı uyarmadan gömülü nesnelerin çalışmasını durdurmak için tasarlanmıştır . Korumalı Modu kapatmayın veya aşırı sürüş yapın veya uyarıyı yoksayın.

Öğrenecek ve eki bakmak için başkalarını eğitmek gerekir ve açılması veya belge önizlenirken korumalı mod çubuğu görünürse düzenleme modunu etkinleştirmek YAPMAYIN belge boş veya bozuk ya da bulanık görüntü var görünebilir ama güvenli olacak. E-postayla aldığınız kötü amaçlı bir belgeyi tanımlama yöntemlerinden birisi, Outlook'ta önizleme bölmesinde önizleme yapmayacağınız veya indirilenler klasörüne kaydedildiğinde ve boş görünüyorsa veya slayt gösterisinde gösterilen resimlere benzer içeriğe sahip olmasından kaynaklanır yukarıdaki