Amikor egy Word dokumentum miatt sötétül el minden

Akár egyetlen Word vagy Excel fájl is nagy veszélyt jelenthet még a legkomolyabb védelmi arzenállal körülbástyázott kritikus infrastruktúrákra is.
hirdetés
Az elmúlt egy hónapban több biztonsági cég is kiemelten foglalkozott azzal a BlackEnergy nevű kártékony programmal, amely legutóbb Ukrajnában okozott komoly fennakadásokat. 2015. december 23-án néhány órára közel 700 ezer ember maradt áram nélkül az ukrajnai Ivano-Frankivsk régióban. Az ESET már akkor észrevette, hogy ez nem egy elszigetelt jelenség volt, ugyanis több más áramszolgáltató is célkeresztbe került. Természetesen az incidenst az ukrán CERT is alaposan kivizsgálta, és megállapította, hogy ez esetben a kiberbűnözők a BlackEnergy segítségével egy KillDisk nevű trójai programot igyekeztek bejuttatni a hálózatokba. Ha egy rendszer ezzel a károkozóval megfertőződött, akkor nem egy esetben már csak a teljes újratelepítés segített.

Az ukrán incidens után nagyon felkapott téma lett a BlackEnergy. Persze nem véletlenül, hiszen egyre több jel utal arra, hogy egy meglehetősen gyorsan fejlődő, és korántsem csak ukrán cégeket, szolgáltatókat veszélyeztető szerzeményről van szó. A malware a felépítésének és funkcionalitásának köszönhetően jól megállja a helyét az APT (Advanced Persistent Threat) típusú fenyegetettségekre épülő támadásokban. 

Az eddig napvilágra került jelentések alapján nem lehet egyértelműen kijelenteni, hogy a BlackEnergy mögött egy vagy több kiberkémkedésre specializálódott csoport áll-e. Az azonban biztos, hogy a malware egyre kifinomultabb módszerekkel ostromolja az informatikai rendszereket. Továbbra is az energetikai vállalatok, valamint azok a szervezetek vannak a legnagyobb veszélynek kitéve, amelyek ICS/SCADA vezérlőrendszereket is működtetnek.

Az Office a kedvenc

A BlackEnergy különféle variánsainak legszembetűnőbb jellemzője, hogy Office dokumentumok segítségével igyekszik beférkőzni a rendszerekbe. Volt már rá példa, hogy Word, Excel, illetve PowerPoint állományok révén jutott be egy-egy hálózatba általában elektronikus levelek mellékleteként. Amikor egy ilyen küldemény megérkezik, és a felhasználó megnyitja a csatolmányt, akkor - alapértelmezett Office beállítások mellett - egy figyelmeztetés jelenik meg, miszerint makrók futtatását kéri a dokumentum. 


Forrás: Kaspersky Lab

A csalók különféle megtévesztő trükkökkel megpróbálják elérni, hogy a felhasználó engedélyezze a makrókat. Ugyanakkor már az is előfordult, hogy speciálisan összeállított fájlok révén különböző Office sérülékenységeket igyekeztek kihasználni. Ebből a szempontól érdemes figyelni a 2014 októberében feltárt OLE (CVE-2014-4114) sebezhetőségre, amit a Microsoft már akkor javított. Viszont ha egy rendszer nem naprakész a biztonsági frissítések szempontjából, akkor az könnyen komoly károkhoz vezethet.

Fertőzés több lépésben

A BlackEnergy legutóbbi variánsa január 20-án került napvilágra, amikor egy online biztonsági szolgáltatás hálóján akadt fent. Hamar kiderült, hogy a legelterjedtebb víruskeresők körében meglehetősen kicsi a felismerési aránya. Ez esetben egy vba_macro.exe fájl kerül a számítógépekre a makrók által, de ez még nem a BlackEnergy kódját tartalmazza. A malware egy következő lépésben jut fel a PC-re a vba_macro.exe hathatós közreműködésével.

"Jelenleg két opció van a támadások végrehajtására. Vagy a célpontba került számítógép nem megfelelően frissített, vagy a felhasználó véletlenül vagy akár szándékosan megnyitja a fertőzött dokumentumot, és ezzel útjára engedi a károkozót a hálózatban. A szóban forgó informatikai környezetekben elég valószínűtlen, hogy nincs fent a számítógépeken egy 2014-es frissítés, ezért az emberi tényezőknek van nagyobb szerepük" - nyilatkozta Udi Shamir, a SentinelOne biztonsági igazgatója utalva arra, hogy a biztonságtudatosság fokozása nélkülözhetetlen.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. Az Apple iOS esetében ismét frissítésre vn szükség.

  2. Az OpenSSL három sérülékenység miatt válhat megbéníthatóvá.

  3. A VMware vRealize Automation két sebezhetőség miatt szorul frissítésre.

  4. A MantisBT egy olyan hibát rejt, amely XSS-alapú támadásokra adhat módot.

  5. A Zombrari trójai a fertőzött számítógépeken a beállított DNS-kiszolgáló címével ügyeskedik.

  6. A WordPress kapcsán két sebezhetőséget szüntettek meg a fejlesztők.

  7. A Prifou trójai a webböngészők manipulálásával éri el, hogy a felhasználó elé tudjon tárni bosszantó reklámokat.

  8. A Ransomcrypt zsaroló program készítői igyekeztek a lehető legjobban leegyszerűsíteni a váltságdíj kifizetését.

  9. A Remvio trójai még csak arra sem veszi a fáradtságot, hogy a saját fájlját felmásolja a rendszerre. Ehelyett inkább adatlopásra koncentrál.

  10. A Cartcapa trójai az egyszerűsége ellenére meglehetősen nagy hatalmat tud adni a támadók kezébe.

Partnerhírek

  1. A kiberbűnözők a jövőben a Facebook és a LinkedIn oldalait is felhasználhatják majd hasonló kártevők irányítására.

  2. 1n

    Az ESET júliusi listájának új szereplője a Defo, amely az általános észlelési gyűjtőneve az MS-DOS platformon futó kártékony programkódoknak.

  3. 21n

    Az ESET szakértőjének tanácsai arról, mi mindent kell tudnunk, mielőtt belevágunk a jegyvadászatba.

  4. 29n

    Az ESET szakértőinek tanácsa, hogyan védjük meg magunkat és gyermekeinket a hamis közösségi profilok jelentette veszélyektől.

  5. 1h

    Az ESET júniusi listájára egy olyan kártékony szerzemény is felkerült, amely webböngészők manipulálásával és a felhasználók ártalmas weboldalakra történő vezetésével segíti a vírusterjesztőket.

  6. 1h

    Számos fejlesztő próbálkozik a felhasználók megtévesztésével, hogy rávegyék őket a hasznosnak látszó alkalmazásaik letöltésére.

  7. 1h

    Az elmúlt év során az ESET több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet.

  8. 1h

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  9. 1h

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  10. 2h

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ