Security Professionals - ipfw add deny all from eindgebruikers to any

docm aanvallen

15-04-2014, 22:26 door Anoniem, 0 reacties
Trend Micro heeft een paar weken geleden deze blog gepubliceerd.
http://blog.trendmicro.com/trendlabs-security-intelligence/macro-enabled-files-found-carrying-zbot/

Dit is een zogenaamde sophisticated attack, maar niet zoals vaak bij targeted attacks gericht op specifieke personen. Ook is er geen sprake van een (ongedetecteerde) exploit. De gebruiker wordt met social engineering overgehaald de macro uit te voeren. De macro leest een hexadecimaal gecodeerde executable en voert die uit.

Het is verstandig docm te blokkeren op mail scanners.

docm files zijn zip bestanden. Je kunt alleen beoordelen of er een macro in zit door de ZIP in te lezen.

Bij een aanval werd een computer in het midden oosten gebruikt die voorzien is van Interspire mailing software, deze software wordt veel gebruikt door de wat minder nette massa mailers, vooral in het VK. De server heeft een PTR record naar een speciaal geregistreerde domeinnaam office1ecn punt com, er is ook een TXT record met PTF instructies. Vanaf dit IP adres is de malware verzonden met de mailing software.

TXT "v=spf1 ip4:0.0.0.0/1 ip4:130.0.0.0/1 ~all"
MX 10 mail.office1ecn.com.
A 185.25.50.136

Blokkeren:
office1ecn.com
office2ecn.com
185.25.50.136-185.25.50.143
185.25.50.168-185.25.50.175
Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.