Amikor egy Word dokumentum miatt sötétül el minden

Akár egyetlen Word vagy Excel fájl is nagy veszélyt jelenthet még a legkomolyabb védelmi arzenállal körülbástyázott kritikus infrastruktúrákra is.
hirdetés
Az elmúlt egy hónapban több biztonsági cég is kiemelten foglalkozott azzal a BlackEnergy nevű kártékony programmal, amely legutóbb Ukrajnában okozott komoly fennakadásokat. 2015. december 23-án néhány órára közel 700 ezer ember maradt áram nélkül az ukrajnai Ivano-Frankivsk régióban. Az ESET már akkor észrevette, hogy ez nem egy elszigetelt jelenség volt, ugyanis több más áramszolgáltató is célkeresztbe került. Természetesen az incidenst az ukrán CERT is alaposan kivizsgálta, és megállapította, hogy ez esetben a kiberbűnözők a BlackEnergy segítségével egy KillDisk nevű trójai programot igyekeztek bejuttatni a hálózatokba. Ha egy rendszer ezzel a károkozóval megfertőződött, akkor nem egy esetben már csak a teljes újratelepítés segített.

Az ukrán incidens után nagyon felkapott téma lett a BlackEnergy. Persze nem véletlenül, hiszen egyre több jel utal arra, hogy egy meglehetősen gyorsan fejlődő, és korántsem csak ukrán cégeket, szolgáltatókat veszélyeztető szerzeményről van szó. A malware a felépítésének és funkcionalitásának köszönhetően jól megállja a helyét az APT (Advanced Persistent Threat) típusú fenyegetettségekre épülő támadásokban. 

Az eddig napvilágra került jelentések alapján nem lehet egyértelműen kijelenteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e. Az azonban biztos, hogy a malware egyre kifinomultabb módszerekkel ostromolja az informatikai rendszereket. Továbbra is az energetikai vállalatok, valamint azok a szervezetek vannak a legnagyobb veszélynek kitéve, amelyek ICS/SCADA vezérlőrendszereket is működtetnek.

Az Office a kedvenc

A BlackEnergy különféle variánsainak legszembetűnőbb jellemzője, hogy Office dokumentumok segítségével igyekszik beférkőzni a rendszerekbe. Volt már rá példa, hogy Word, Excel, illetve PowerPoint állományok révén jutott be egy-egy hálózatba általában elektronikus levelek mellékleteként. Amikor egy ilyen küldemény megérkezik, és a felhasználó megnyitja a csatolmányt, akkor - alapértelmezett Office beállítások mellett - egy figyelmeztetés jelenik meg, miszerint makrók futtatását kéri a dokumentum. 


Forrás: Kaspersky Lab

A csalók különféle megtévesztő trükkökkel megpróbálják elérni, hogy a felhasználó engedélyezze a makrókat. Ugyanakkor már az is előfordult, hogy speciálisan összeállított fájlok révén különböző Office sérülékenységeket igyekeztek kihasználni. Ebből a szempontól érdemes figyelni a 2014 októberében feltárt OLE (CVE-2014-4114) sebezhetőségre, amit a Microsoft már akkor javított. Viszont ha egy rendszer nem naprakész a biztonsági frissítések szempontjából, akkor az könnyen komoly károkhoz vezethet.

Fertőzés több lépésben

A BlackEnergy legutóbbi variánsa január 20-án került napvilágra, amikor egy online biztonsági szolgáltatás hálóján akadt fent. Hamar kiderült, hogy a legelterjedtebb víruskeresők körében meglehetősen kicsi a felismerési aránya. Ez esetben egy vba_macro.exe fájl kerül a számítógépekre a makrók által, de ez még nem a BlackEnergy kódját tartalmazza. A malware egy következő lépésben jut fel a PC-re a vba_macro.exe hathatós közreműködésével.

"Jelenleg két opció van a támadások végrehajtására. Vagy a célpontba került számítógép nem megfelelően frissített, vagy a felhasználó véletlenül vagy akár szándékosan megnyitja a fertőzött dokumentumot, és ezzel útjára engedi a károkozót a hálózatban. A szóban forgó informatikai környezetekben elég valószínűtlen, hogy nincs fent a számítógépeken egy 2014-es frissítés, ezért az emberi tényezőknek van nagyobb szerepük" - nyilatkozta Udi Shamir, a SentinelOne biztonsági igazgatója utalva arra, hogy a biztonságtudatosság fokozása nélkülözhetetlen.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. Az Apache az OpenOffice kapcsán egy veszélyes biztonsági hibáról számolt be.

  2. A Cisco Email Security Appliance egy olyan hibát tartalmaz, amely védelmi mechanizmusok megkerülésére ad lehetőséget.

  3. A Spyolog egy távolról vezérelhető kémprogram, amely sok értékes adatot képes kiszivárogtatni.

  4. A Siemens SIMATIC WinCC rendszer kapcsán két sebezhetőségről hullt le a lepel.

  5. A DB2 kapcsán két sebezhetőségre figyelmeztetett az IBM.

  6. A Xiazai trójai az Internet Explorer megbuherálása után egy hátsó kaput nyit a rendszereken.

  7. A Kerberos KDC (Key Distribution Center) egy DoS támadásokra lehetőséget adó sebezhetőséget tartalmaz.

  8. A Troldesh trójai a fertőzött számítógép feltérképezését követően fájlok titkosításába kezd.

  9. A Spraxeth féreg elsősorban hálózati megosztásokon keresztül terjed, és egy hátsó kapuval veszélyezteti a számítógépeket.

  10. A Ransomcrypt zsaroló program egy szimpla szöveges fájl révén közli a követeléseit a felhasználóval.

Partnerhírek

  1. 1n

    Az ESET szakértőinek tanácsa, hogyan védjük meg magunkat és gyermekeinket a hamis közösségi profilok jelentette veszélyektől.

  2. 4n

    Az ESET júniusi listájára egy olyan kártékony szerzemény is felkerült, amely webböngészők manipulálásával és a felhasználók ártalmas weboldalakra történő vezetésével segíti a vírusterjesztőket.

  3. 11n

    Számos fejlesztő próbálkozik a felhasználók megtévesztésével, hogy rávegyék őket a hasznosnak látszó alkalmazásaik letöltésére.

  4. 17n

    Az elmúlt év során az ESET több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet.

  5. 29n

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  6. 1h

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  7. 1h

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  8. 1h

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  9. 1h

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

  10. 1h

    Június közepén kerül megrendezésre az Open Academy, amely közösségi keretek között kínál ingyenes továbbképzési lehetőséget több száz informatikus szakember számára.

Eseménynaptár
Hacktivity 2016 10.21.
ISF’s 27th Annual World Congress 10.22.
hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ