Fancy Bear 利用DDE技术进行攻击

安全研究人员本周指出，与俄罗斯政府有关的高级黑客组织Fancy Bear正在积极利用一种重新兴起的技术，通过Microsoft Office文档进行隐蔽的计算机感染。

背景信息

Fancy Bear是研究人员认为在去年美国总统大选前入侵民主党全国委员会网络的两个俄罗斯支持的黑客组织之一。该组织最近被发现发送了一个滥用动态数据交换（DDE）功能的Word文档。DDE允许文件执行存储在另一个文件中的代码，并允许应用程序在新数据可用时发送更新。

攻击细节

Trend Micro研究人员在周二发布的博客文章中表示，Fancy Bear发送了一个名为“IsisAttackInNewYork.docx”的文档，该文档滥用了DDE功能。一旦打开，该文件会连接到一个控制服务器，下载一个名为Seduploader的恶意软件的第一阶段，并将其安装在目标计算机上。

DDE技术的滥用

DDE作为一种感染技术的潜力已经为人所知多年，但安全公司SensePost上个月发布的一篇帖子重新引起了人们的兴趣。该帖子展示了如何滥用DDE通过Word文件安装恶意软件，而这些文件未被反病毒程序检测到。

微软的安全建议

在Trend Micro发布关于Fancy Bear的报告一天后，微软发布了一份公告，解释了Office用户如何保护自己免受此类攻击。最简单的方法是保持警惕，不要轻易打开不熟悉的文档。在DDE功能被使用之前，用户会看到一个对话框，如果用户点击“是”，恶意负载将在用户点击两次警告后执行。

高级用户的防护措施

微软的公告还解释了技术更高级的用户如何通过更改Windows注册表中的设置来禁用从一个文件到另一个文件的自动数据更新。

DDE攻击的广泛性

Fancy Bear并不是第一个在野外积极利用DDE的组织。在SensePost帖子发布几周后，研究人员报告称攻击者正在滥用该功能安装Locky勒索软件。

结论

许多研究人员已经注意到DDE攻击通过Office文档传播恶意软件的能力，而无需宏。鉴于人们对宏危险的日益认识，DDE在某些环境中可能会有效。但最终，DDE机制有其自身的迹象。随着DDE攻击变得越来越普遍，人们应该学会识别这些迹象。