原标题:微软Windows的动态资料交换协议DDE遭骇客滥用,新攻击手法兴起
示意图,与新闻事件无关。
思科(Cisco)旗下的资安团队Talos近日在调查一起假冒美国证券交易委员会(SEC)进行鱼叉式网钓攻击的骇客行动时发现,骇客利用了微软Windows中的动态资料交换(Dynamic△Data△Exchange,DDE)协议来散布恶意程式。
根据微软文件,Windows提供许多方法来转移不同应用程序的资料,DDE即是其中一种,它是一组讯息及准则,可在共享资料的程式间传递讯息,并借由共享记忆体交换资料。
率先揭露DDE同样可应用在微软Excel与Word程式的是安全顾问业者SensePost,SensePost发现通过Word的功能变数(Field)设定即可嵌入DDE,而且会在文件开启时自动执行。使用者可于DDE中输入简单的指令以指引汇入资料的路径,但骇客却用来它开启命令提示并执行恶意程式。
根据Talos的调查,骇客寄出了假冒为SEC的邮件予攻击目标,该邮件含有一个Word附加档案,开启后会跳出一个提醒视窗,询问是否要开启该文件所连结的其他档案(下图,来源:Talos),假设使用者同意了,那么即会执行骇客所撰写的恶意程式。
在这波攻击中,骇客于使用者系统上植入的是DNSMessenger恶意程式,这是一个远端存取木马,可利用DNS查询以执行恶意的PowerShell指令。
值得注意的是,另一资安业者Nviso在这几天已发现许多利用DDE功能植入恶意程式的文件样本,突显出滥用DDE的手法正在兴起。
相关:
向来在云端上较劲的微软及Amazon△Web△Service△(AWS) 竟然也合作了。两家公司周四宣布名为Gluon的深度学习函式库,可让各种开发人员开发、训练机器学习模型,及部署到云端、前端装置及app上。?开发人员要打造神经网
【远银遭骇追追追】快清查内部网络!远银遭骇5支恶意程式特征公开(还有骇客中继站IP)
远东银行遭骇盗转事件中,刑事局已经发现了5支骇客留下的恶意程式,其中2支是加密勒索木马,另外3支是用来入侵和灭迹的恶意程式。早在10月6日记者会中,金管会就曾提醒台湾金融业者,要注意RANSOM_HERMS.A加密勒索木
台湾微软资讯安全暨风险管理经理林宏嘉 在10月3日远东银行通报资安事件爆发之后,微软是第一批进驻参与紧急处理的软件厂商之一,尽管囿于保密协议无法透露处理细节,不过,台湾微软资讯安全暨风险管理经理林宏嘉表
【远银遭骇追追追】骇客集团连续锁定台湾,台湾金融业历年遭骇事件簿
金融业者近年来面临著资讯防护的内忧外患,内部资安要精准控管、滴水不漏,面对外部的骇客恶意攻击,也要有抵御的能力。从去年开始的第一银行ATM盗领案、今年初的证卷商集体遭DDoS阻断式网络攻击,一直到最近的远东银
微软释出Windows 10秋季创作者更新的RTM版与SDK
示意图,与新闻事件无关。 微软于本周二(10/10)释出了Windows△10秋季创作者更新(Windows△10 Fall△Creators△Update)Build△16299.15,除了向外界证实这已是生产就绪版(Release△To△Manufacturing,RTM)之