示意圖,與新聞事件無關。

思科(Cisco)旗下的資安團隊Talos近日在調查一起假冒美國證券交易委員會(SEC)進行魚叉式網釣攻擊的駭客行動時發現,駭客利用了微軟Windows中的動態資料交換(Dynamic Data Exchange,DDE)協定來散布惡意程式。

根據微軟文件,Windows提供許多方法來轉移不同應用程式的資料,DDE即是其中一種,它是一組訊息及準則,可在共享資料的程式間傳遞訊息,並藉由共享記憶體交換資料。

率先揭露DDE同樣可應用在微軟Excel與Word程式的是安全顧問業者SensePost,SensePost發現透過Word的功能變數(Field)設定即可嵌入DDE,而且會在文件開啟時自動執行。使用者可於DDE中輸入簡單的指令以指引匯入資料的路徑,但駭客卻用來它開啟命令提示並執行惡意程式。

根據Talos的調查,駭客寄出了假冒為SEC的郵件予攻擊目標,該郵件含有一個Word附加檔案,開啟後會跳出一個提醒視窗,詢問是否要開啟該文件所連結的其他檔案(下圖,來源:Talos),假設使用者同意了,那麼即會執行駭客所撰寫的惡意程式。

在這波攻擊中,駭客於使用者系統上植入的是DNSMessenger惡意程式,這是一個遠端存取木馬,可利用DNS查詢以執行惡意的PowerShell指令。

值得注意的是,另一資安業者Nviso在這幾天已發現許多利用DDE功能植入惡意程式的文件樣本,突顯出濫用DDE的手法正在興起。


Advertisement

更多 iThome相關內容