Egy dokumentumon keresztül is megtámadhatnak a kiberbűnözők

2017. február 22. 12:00E-volution

Az online támadók továbbra is sikeresen használják ki a Microsoft Office hibáit, hogy számtalan gyanútlan felhasználó rendszerét fertőzzék meg különböző malware-ekkel.

Az online támadók továbbra is sikeresen használják ki a Microsoft Office hibáit, hogy számtalan gyanútlan felhasználó rendszerét fertőzzék meg különböző malware-ekkel. A Sophos három fő exploit gyártó készletre hívja fel a figyelmet: a Microsoft Word Intruderre, az Ancalog Builderre és az AKBuilderre. Ezek közül a legnépszerűbb, az AKBuilder, Rich Text formátumú, kártékony célú tartalom befogadására előkészített Word dokumentumokat hoz létre, amelyekbe malware mintákat helyezhetnek el a rosszindulatú megvásárlóik, hogy azokat később spamként küldhessék szét áldozataiknak. Nem nehéz védekezni az ilyen jellegű ártó tevékenység ellen, egyszerűen csak mindig telepítenünk kell a Microsoft Office legújabb frissítéseit – összegzi a Sophos.

Védekezési lehetőségek
A kiberbűnözők számára az Office dokumentumok tökéletes eszközt jelentenek a kártevők terjesztéséhez, hiszen e fájlokon keresztül a programok és operációs rendszerek számos sebezhetőségét ki tudják használni. Ez a bevált módszer már több mint két éve keseríti meg a felhasználók és biztonsági emberek életét, a fejlesztők és terjesztők pedig nem valószínű, hogy egyhamar beszüntetik a tevékenységüket.

A feketepiacon könnyen hozzáférhető eszközök a bűnözők tömegének biztosítanak lehetőséget támadócélú dokumentumok generálására. Az Ancalog builder eltűnését követően az AKBuilder vált a legnépszerűbb eszközkészletté az online alvilág körében. „Összességében véve nem kimondottan nehéz védekezni az ilyen jellegű ártó tevékenység ellen, egyszerűen csak mindig telepítenünk kell a Microsoft Office legújabb frissítéseit.”-emelte ki Szappanos Gábor, a Sophos vírusszakértője.

Két „bűntársához” hasonlóan az AKBuilder az exploit-okra épülő generált Word fájlokat az Office, illetve az azt futtató Windows különböző hibáinak kihasználásának céljából hozza létre.

Az AKBuilder reklámjaival akár a Youtube-on is találkozhatunk, eladása viszont illegális fórumokon zajlik. A károkozó eszközkészlet ára 550 dollár körül mozog, a fizetés pedig olyan elektronikus valutákkal történik, mint például a Bitcoin vagy a Perfect Money.

Két változat ismert, amelyek legfőképpen abban különböznek, hogy az Office mely sebezhetőségeit támadják.

AK-1
A korábbi verzió, az AK-1 két exploitot használ egy dokumentumban: a CVE-20120-0158-at és a CVE-2014-1761-et. Az újabb változat viszont csak egyet, a CVE-2015-1641-et. Mindkét verziót Python scriptként terjesztik, ami teljesen automatizált módon működik, csak a fájlok nevét illetően lehet paramétereket megadni a használat során.

Az AK-1 2015 közepétől 2016 közepéig volt a legaktívabb, majd az utódja elterjedése miatt egyre inkább visszaszorult. 2016 nyarára úgy tűnt, hogy végleg is eltűnt, azonban nemrég újra felbukkantak az AK-1 által használt minták. Szappanos szerint még biztosat nem lehet ugyan mondani, de elképzelhető, hogy újbóli felbukkanása az Ancalog builder eltűnésével hozható összefüggésbe. Az Ancalog hiánya miatt jelentősen megnőtt az igény az AK-1 régebbi Office hibákat kihasználó eszközeire, és mint tudjuk, ahol van kereslet…

A terjesztett malware-ek A Sophos körülbelül 760 olyan fertőző dokumentumot azonosított, amelyet az AK-1-gyel generáltak. Ezeket több mint 50 különböző malware-család terjesztéséhez használták. A leggyakrabban előforduló változatokat ezeken a grafikonon ábrázoltuk:

AK-2
A builder forráskódja az AK-1 Python scriptjére épül és ugyanazokat a jellemzőket mutatja. Az AKBuilder esetén megbecsülni sem egyszerű, hogy hányan dolgoznak rajta, illetve milyen szerveződésben. Mivel a builder lényegében csak egy egyszerű Python script, nagyon könnyű „elcsenni”. Elképzelhető, hogy a fejlesztést egyetlen személy kezdeményezte, majd másik ellopták a kódját és kiadták a saját verziójukat. Az azonban nyilvánvaló, hogy a builder ismert verziói egyetlen kiinduló forrásból származnak és egy fejlesztési ághoz sorolhatóak, még ha egyébként számos email fiók is köthető hozzájuk.

A terjesztők egy része –köztük a legkitartóbb is- látszólag arab államokban végzi tevékenységét, arra vonatkozólag azonban nincs bizonyíték, hogy e terjesztők között lenne bármilyen kapcsolat. De tőlük függetlenül még számos más fejlesztő / terjesztő is árulja a készlet saját verzióit. Néhányan csak erre a builderre specializálódtak, néhányan azonban más kártevő szoftverek kereskedelmével is foglalkoznak. Az eszközkészlet népszerűsége mögött a könnyen értelmezhető és módosítható Python nyelvű forráskód áll.

A Sophos úgy véli, hogy az AKBuilder fejlesztésében és terjesztésében eredetileg körülbelül fél tucat ember működhetett közre, de a köztük lévő pontos kapcsolatrendszer eddig felderítetlen maradt.