Пятница, 22 января, 06:27
дома безопасность Реестр Windows помогает найти вредоносные документы Office

Реестр Windows помогает найти вредоносные документы Office

Если компьютер Windows заражен и вы пытаетесь найти источник заражения, найдите вредоносные документы Microsoft Office, которые разрешено запускать на компьютере.

Программы-вымогатели, RAT и трояны, крадущие информацию, обычно распространяются через фишинговые электронные письма, содержащие документы. Word и Excel с вредоносными макросами.

Когда пользователь открывает один из этих документов в Microsoft Office, в зависимости от защиты документа или наличия в нем макросов, Office ограничивает функциональность документа, если пользователь не нажимает кнопки «Включить редактирование» или «Включить содержимое». ».

Когда пользователь активирует определенную функцию, такую ​​как редактирование или макросы, документ будет добавлен в качестве доверенного документа в подраздел TrustRecords в следующих разделах реестра, в зависимости от того, является ли это документом Word или Excel:

Это позволяет Microsoft Office помнить решение, принятое пользователем, и не пересматривать его в будущем.

Это также означает, что если пользователь разрешил редактирование или макросы в документе, нажав соответствующую кнопку, Для офиса запомнит это решение при следующем открытии документа и больше не будет запрашивать его.

Хорошей новостью является то, что мы можем использовать эту информацию в своих интересах, чтобы находить документы Word и Excel с компьютерными макросами.

Доверие к документам Microsoft Office

Чтобы показать, как документ становится доверенным, давайте откроем настоящий документ Word со вредоносными макросами, которые были распространены на фишинговая кампания.

Поскольку конечная цель хакера - включить макросы в документе, они обычно отображают сообщение после того, как пользователь нажимает кнопку «Включить содержимое», чтобы запустить макросы и установить вредоносное ПО на компьютер.

В этом конкретном примере вредоносный документ защищен, что означает, что его нельзя редактировать, пока пользователь не нажмет кнопку «Разрешить редактирование». Кроме того, если документ защищен, пользователь должен разрешить редактирование, прежде чем сможет активировать макросы.

Когда пользователь щелкает «Разрешить редактирование», полный путь к документу будет добавлен в качестве значения в разделе HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ [office_version] \ Word \ Security \ Trusted Documents \ TrustRecords.

Это содержит отдельные значения для каждого документ что пользователь «доверяет» независимо от того, была ли нажата кнопка «Разрешить редактирование» или «Разрешить содержимое».

Данные сгенерированного значения будут состоять из отметки времени, некоторой другой информации и заканчиваться четырьмя байтами, указывающими, «какое действие является доверенным». В этом случае мы нажали «Разрешить редактирование», чтобы установить для четырех байтов значение 01 00 00 00.

Теперь, когда документ включен для редактирования, Word предложит пользователю включить макросы, нажав кнопку «Включить содержимое».

Если пользователь нажимает кнопку «Включить содержимое», Office уведомляет TrustRecord о документе, указывая, что макросы разрешены в этом документе, и нам всегда будет разрешено продолжить.

Это делается путем изменения последних четырех цифр документа TrustRecord на FF FF FF 7F, как показано ниже.

Использование доверенных документов распространяется не только на Word, но и на другие приложения Office. Например, если пользователь нажимает «Включить редактирование» или «Включить содержимое» в электронной таблице Excel, в папке HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ [office_version] \ Excel \ Security \ Trusted Documents \ будет создана папка TrustRecord, как показано ниже.

Собираем все вместе

Теперь мы знаем, что каждый раз, когда пользователь нажимает «Разрешить редактирование» или «Разрешить содержимое», Microsoft Office будет добавлять путь к документу в качестве значения реестра в разделе TrustRecords программы.

Мы также знаем, что если последние четыре байта данных значения доверенного документа установлены в FF FF FF 7F, это означает, что пользователи включили макросы в документе, что является очень распространенным символом для заражения компьютера.

Используя эту информацию, мы можем проверить наличие потенциально вредоносных документов, макросы которых были активированы, проверив значения, указанные ниже под ключами ниже, а затем собрав документы для дальнейшей криминальной деятельности.


Этот метод особенно полезен для обнаружения инфекций Emotet, TrickBot, Вымогателей или крыс.

Очистить доверенные документы

Как TrustRecords помнит свое действие пользователь навсегда и позволит макросам запускаться автоматически на ранее активированном документе, лучше всего доверять документы быть удалены из реестра через регулярные промежутки времени.

Это можно сделать с помощью сценариев входа в систему, запланированных задач или других методов.

Пользователи также могут удалить свои доверенные документы через Центр управления безопасностью Microsoft Office, который доступен, выполнив следующие действия:

1. В Word или Excel нажмите Файл, а затем Параметры.

2. В центре управления безопасностью нажмите кнопку Настройки центра управления безопасностью.

3. Когда откроется Центр управления безопасностью, щелкните раздел «Надежные документы» в левом столбце.

4. В разделе «Надежные документы» нажмите кнопку Очистить, и все доверенные документы будут удалены. Это также означает, что если вы откроете старый документ, Word или Excel попросят вас повторно включить «Включить редактирование» или «Включить содержимое».

5. Повторите ту же процедуру в других приложениях Office.

6.Закройте Траст-центр.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Mac: как узнать, какая у вас модель и когда она была выпущена

Когда вам нужна поддержка для вашего Mac - или вы хотите установить какое-то обновление - вам обычно нужно знать точное ...
00: 02: 35

Билл Гейтс: Будет ли он работать с Байденом над COVID-19 / изменением климата?

Соучредитель Microsoft Билл Гейтс сказал в Твиттере, что с нетерпением ждет возможности поработать с новым президентом США Джо Байденом и ...

Какие слухи ходят об iPhone 13?

Apple iPhone 13 будет иметь переработанную систему Face ID, которая будет иметь меньшую выемку в верхней части экрана, ...

Байден: Как политический переход в США был отражен в социальных сетях?

Когда Джо Байден был приведен к присяге в качестве президента Соединенных Штатов, этот важный политический переход был запечатлен в популярных социальных сетях. 20 января ...

CentOS перестает поддерживаться, но RHEL предлагается бесплатно

В прошлом месяце Red Hat вызвала большое беспокойство в мире Linux, объявив о прекращении поддержки CentOS Linux.

Пароли сотрудников Microsoft Office 365 просочились в сеть!

Было обнаружено, что новая крупномасштабная фишинговая кампания, нацеленная на глобальные организации, позволяет обойти Microsoft Office 365 Advanced Threat Protection (ATP) и ...

COSMOTE и Microsoft предоставляют новые облачные решения для бизнеса

COSMOTE и Microsoft расширяют свое сотрудничество, предлагая еще более продвинутые и высококачественные облачные решения для больших и малых ...

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...