微軟Windows的動態資料交換協定DDE遭駭客濫用，新攻擊手法興起

思科（Cisco）旗下的資安團隊Talos近日在調查一起假冒美國證券交易委員會（SEC）進行魚叉式網釣攻擊的駭客行動時發現，駭客利用了微軟Windows中的動態資料交換（Dynamic Data Exchange，DDE）協定來散布惡意程式。

根據微軟文件，Windows提供許多方法來轉移不同應用程式的資料，DDE即是其中一種，它是一組訊息及準則，可在共享資料的程式間傳遞訊息，並藉由共享記憶體交換資料。

率先揭露DDE同樣可應用在微軟Excel與Word程式的是安全顧問業者SensePost，SensePost發現透過Word的功能變數（Field）設定即可嵌入DDE，而且會在文件開啟時自動執行。使用者可於DDE中輸入簡單的指令以指引匯入資料的路徑，但駭客卻用來它開啟命令提示並執行惡意程式。

根據Talos的調查，駭客寄出了假冒為SEC的郵件予攻擊目標，該郵件含有一個Word附加檔案，開啟後會跳出一個提醒視窗，詢問是否要開啟該文件所連結的其他檔案(下圖，來源：Talos)，假設使用者同意了，那麼即會執行駭客所撰寫的惡意程式。

在這波攻擊中，駭客於使用者系統上植入的是DNSMessenger惡意程式，這是一個遠端存取木馬，可利用DNS查詢以執行惡意的PowerShell指令。

值得注意的是，另一資安業者Nviso在這幾天已發現許多利用DDE功能植入惡意程式的文件樣本，突顯出濫用DDE的手法正在興起。