Amikor egy Word dokumentum miatt sötétül el minden

Akár egyetlen Word vagy Excel fájl is nagy veszélyt jelenthet még a legkomolyabb védelmi arzenállal körülbástyázott kritikus infrastruktúrákra is.
hirdetés
Az elmúlt egy hónapban több biztonsági cég is kiemelten foglalkozott azzal a BlackEnergy nevű kártékony programmal, amely legutóbb Ukrajnában okozott komoly fennakadásokat. 2015. december 23-án néhány órára közel 700 ezer ember maradt áram nélkül az ukrajnai Ivano-Frankivsk régióban. Az ESET már akkor észrevette, hogy ez nem egy elszigetelt jelenség volt, ugyanis több más áramszolgáltató is célkeresztbe került. Természetesen az incidenst az ukrán CERT is alaposan kivizsgálta, és megállapította, hogy ez esetben a kiberbűnözők a BlackEnergy segítségével egy KillDisk nevű trójai programot igyekeztek bejuttatni a hálózatokba. Ha egy rendszer ezzel a károkozóval megfertőződött, akkor nem egy esetben már csak a teljes újratelepítés segített.

Az ukrán incidens után nagyon felkapott téma lett a BlackEnergy. Persze nem véletlenül, hiszen egyre több jel utal arra, hogy egy meglehetősen gyorsan fejlődő, és korántsem csak ukrán cégeket, szolgáltatókat veszélyeztető szerzeményről van szó. A malware a felépítésének és funkcionalitásának köszönhetően jól megállja a helyét az APT (Advanced Persistent Threat) típusú fenyegetettségekre épülő támadásokban. 

Az eddig napvilágra került jelentések alapján nem lehet egyértelműen kijelenteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e. Az azonban biztos, hogy a malware egyre kifinomultabb módszerekkel ostromolja az informatikai rendszereket. Továbbra is az energetikai vállalatok, valamint azok a szervezetek vannak a legnagyobb veszélynek kitéve, amelyek ICS/SCADA vezérlőrendszereket is működtetnek.

Az Office a kedvenc

A BlackEnergy különféle variánsainak legszembetűnőbb jellemzője, hogy Office dokumentumok segítségével igyekszik beférkőzni a rendszerekbe. Volt már rá példa, hogy Word, Excel, illetve PowerPoint állományok révén jutott be egy-egy hálózatba általában elektronikus levelek mellékleteként. Amikor egy ilyen küldemény megérkezik, és a felhasználó megnyitja a csatolmányt, akkor - alapértelmezett Office beállítások mellett - egy figyelmeztetés jelenik meg, miszerint makrók futtatását kéri a dokumentum. 


Forrás: Kaspersky Lab

A csalók különféle megtévesztő trükkökkel megpróbálják elérni, hogy a felhasználó engedélyezze a makrókat. Ugyanakkor már az is előfordult, hogy speciálisan összeállított fájlok révén különböző Office sérülékenységeket igyekeztek kihasználni. Ebből a szempontól érdemes figyelni a 2014 októberében feltárt OLE (CVE-2014-4114) sebezhetőségre, amit a Microsoft már akkor javított. Viszont ha egy rendszer nem naprakész a biztonsági frissítések szempontjából, akkor az könnyen komoly károkhoz vezethet.

Fertőzés több lépésben

A BlackEnergy legutóbbi variánsa január 20-án került napvilágra, amikor egy online biztonsági szolgáltatás hálóján akadt fent. Hamar kiderült, hogy a legelterjedtebb víruskeresők körében meglehetősen kicsi a felismerési aránya. Ez esetben egy vba_macro.exe fájl kerül a számítógépekre a makrók által, de ez még nem a BlackEnergy kódját tartalmazza. A malware egy következő lépésben jut fel a PC-re a vba_macro.exe hathatós közreműködésével.

"Jelenleg két opció van a támadások végrehajtására. Vagy a célpontba került számítógép nem megfelelően frissített, vagy a felhasználó véletlenül vagy akár szándékosan megnyitja a fertőzött dokumentumot, és ezzel útjára engedi a károkozót a hálózatban. A szóban forgó informatikai környezetekben elég valószínűtlen, hogy nincs fent a számítógépeken egy 2014-es frissítés, ezért az emberi tényezőknek van nagyobb szerepük" - nyilatkozta Udi Shamir, a SentinelOne biztonsági igazgatója utalva arra, hogy a biztonságtudatosság fokozása nélkülözhetetlen.
   
Címlapról

Microsoft: nem lesz többé 123456

A Microsoft változtat az eddigi jelszóbiztonsági szabályain. Ezentúl nem enged olyan jelszavakat beállítani, amelyek nagyon gyakoriak és könnyen megfejthetők.
Biztonságportál Prémium belépés
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A Cisco IOS XE/XR esetében egy szolgáltatásmegtagadásra lehetőséget adó hibára derült fény.

  2. A Google jelentős biztonsági frissítést adott ki a Chrome böngészőjéhez.

  3. A TYPO3 esetében egy veszélyes sebezhetőséget kell megszüntetni.

  4. A VMware vCenter Server egy XSS-alapú támadásokra lehetőséget adó hibát tartalmaz.

  5. A Xen egy olyan hibát tartalmaz, amely szolgáltatásmegtagadási támadások kockázatát veti fel.

  6. A Bucbi nevű zsaroló program öt bitcoint követel azért, hogy a tönkretett fájlok helyreállíthatóvá váljanak.

  7. A Cryptolocker zsaroló program anonim módon próbálja behajtani a követeléseit a felhasználóktól.

  8. A Tronariv trójai elektronikus levelek mellékletében terjed, és a fertőzés után számos nemkívánatos művelet végrehajtására válik alkalmassá.

  9. A Wortrik trójai FTP- és levelezőszervereket is ostromol a fertőzött számítógépekről.

  10. A Duuzer trójai adatlopásból és hátsó kapu kiépítéséből is kiveszi a részét, ezért többféle kockázatot is felvet.

Partnerhírek

  1. 5n

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  2. 17n

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  3. 25n

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  4. 1h

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  5. 1h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

  6. 1h

    A folyamatosan növekvő és egyre kifinomultabb támadások miatt, valamint a biztonságtudatos gondolkodás erősítése érdekében az ESET és a KÜRT biztonságtechnológiai cég közös szakmai útmutatással nyújt segítséget.

  7. 1h

    Megjelent a Balabit tevékenység felügyeleti megoldásának legfrissebb verziója, mely mostantól a Microsoft nyilvános felhő környezetében is képes a felhasználói aktivitások valós idejű monitorozására.

  8. 1h

    Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel.

  9. 2h

    2016 februárjában is a Bundpil féreg okozta a legtöbb fertőzést, és immár több mint fél éve vezeti a vírusok toplistáját.

  10. 2h

    Általános vélekedés és jótanács volt a biztonsági szakemberektől, hogy az igazán fontos adatainkat tartalmazó számítógépeket, vagy azok hálózatát ne csatlakoztassuk az internethez, így megvédhetjük őket a rosszindulatú adatlopó kártevőktől.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ