Вопрос или проблема
WPS Office теперь имеет некоторые темные схемы. Когда клиент отправляет файл одному из наших сотрудников, если у них на телефоне установлен WPS Office (по умолчанию на телефонах Huawei и Xiaomi, и никто никогда не меняет настройки по умолчанию), они на самом деле не отправляют файл, а отправляют ссылку.
Ссылка открывает файл в веб-просмотре, и там есть две заметные кнопки “скачать”. Обе кнопки являются фальшивыми и на самом деле не скачивают файл, а представляют собой exe-файл, который установит WPS Office в фоновом режиме без какого-либо взаимодействия пользователя.
Сотрудники могут отличить фишинговые или вредоносные письма, но тем не менее я обнаружил, что WPS Office установлен на слишком многих компьютерах: это неприемлемо.
Для установки не требуются повышенные права, она может быть установлена с самым низким уровнем пользователя, но, конечно, для удаления требуются права администратора…
Существует способ запретить установку этого вредоносного ПО? Может быть, как групповая политика, которая заставит Microsoft Defender всегда рассматривать любые файлы, подписанные “zhuhai kingston”, как вредоносные
Как я решил проблему в своей компании:
Сначала я блокировал электронные письма с возвратом, если присутствовала стандартная “ссылка wps”, но клиенты не были достаточно умны, чтобы прочитать сообщение об ошибке (вредная ссылка заблокирована), и думали, что адрес неправильный, из-за чего было потрачено слишком много времени на телефонную поддержку.
Затем я создал групповую политику для блокировки выполнения wps_office_inst.exe, но теперь они добавляют случайный суффикс, так что это не срабатывает.
Теперь я добавил Amino Editor как плагин ко всем браузерам (это плагин, который добавляет пользовательский CSS на определенные веб-сайты), и использую такой пользовательский CSS для eu.docs.wps.com
.open-wps {
visibility: hidden;
}
.preview-footer {
visibility: hidden;
}
.pdf-convert-footer {
visibility: hidden;
}
.common-header {
visibility: hidden;
}
.pdf-cmd-bar-container {
visibility: hidden;
}
.kma-pdf-convert-header {
visibility: hidden;
}
.k-jxm {
visibility: hidden;
}
.login-guid-bar {
visibility: hidden;
}
Теперь все темные схемы скрыты (скачать не скачивает на самом деле, чтобы скачать, нужно нажать кнопку “печать”, но таких кнопок две, и одна из них фальшивая), так что мои пользователи не попадают в ловушку и не скачивают и не устанавливают вредоносное ПО без ведома.
Кроме того, я заблокировал wdl1.pcfg.cache.wpscdn.com на маршрутизаторе, откуда подается вредоносный exe-файл. Нельзя заблокировать весь wpscdn.com, потому что javascript, который загружает настоящие кнопки загрузки, хранится там, и страница будет показывать только фальшивые кнопки загрузки.
Ответ или решение
Чтобы запретить установку WPS Office на компьютерах вашей компании и предотвратить возможные проблемы с безопасностью, следуйте приведенным ниже рекомендациям:
1. Используйте групповые политики
-
Создание групповой политики для блокировки инсталляции:
- Создайте новую групповую политику, чтобы запретить выполнение файлов, связанных с установкой WPS Office. Вы можете использовать шаблоны безопасности Windows для блокировки установщиков по конкретному имени файла (например,
wps_office_inst.exe) и других потенциальных экзешников, связанных с WPS Office. - Обратите внимание, что установка может происходить через изменённые имена файлов, поэтому добавьте правило для запрета любых новых исполняемых файлов, находящихся в стандартной директории загрузок или временных папках.
- Создайте новую групповую политику, чтобы запретить выполнение файлов, связанных с установкой WPS Office. Вы можете использовать шаблоны безопасности Windows для блокировки установщиков по конкретному имени файла (например,
-
Контроль пользовательских разрешений:
- Убедитесь, что пользователи имеют ограниченные права на установку программного обеспечения. Все новые установки должны проходить через администраторов.
2. Настройка антивирусного ПО
- Используйте Microsoft Defender или другие антивирусные решения:
- Настройте Microsoft Defender так, чтобы он блокировал все исполняемые файлы, подписанные "Zhuhai Kingston". Вы можете создать исключения для определённых типов файлов, но убедитесь, что вся автоматическая установка исполняемых файлов с данного разработчика будет заблокирована.
3. Блокировка вредоносных URL
- Блокировка URL-адресов:
- Блокируйте конкретные домены и поддомены (например,
wdl1.pcfg.cache.wpscdn.com), через которые происходит загрузка вредоносных исполняемых файлов. Это можно сделать на уровне маршрутизатора или на уровне сервера DNS. - Реализуйте фильтрацию URL на уровне брандмауэра для блокировки потенциально опасных ссылок на WPS Office.
- Блокируйте конкретные домены и поддомены (например,
4. Обучение сотрудников
- Обучение сотрудников по вопросам безопасности:
- Проводите регулярные тренинги по кибербезопасности для сотрудников, объясняя опасности, связанные с установкой неизвестных приложений и неподтверждённых ссылок.
- Наделяйте сотрудников навыками распознавания подозрительных ссылок и e-mail, особенно тех, которые могут вести на загрузку или установку программного обеспечения.
5. Пользовательские скрипты и плагины
- Использование пользовательских скриптов и плагинов:
- Как вы уже сделали, применяйте кастомизированные CSS или JavaScript, чтобы скрыть элементы интерфейса на веб-сайтах WPS, которые могут вести к установке программного обеспечения. Это может уменьшить вероятность того, что пользователи случайно нажмут на фальшивые кнопки загрузки.
6. Мониторинг и аудит
- Ведите мониторинг установленных приложений:
- Настройте регулярный мониторинг и аудит программного обеспечения на компьютерах сотрудников. Это поможет быстро выявлять и удалять нежелательные приложения.
- Используйте специализированные инструменты для управления ПО (например, SCCM или другие решения для управления парком оборудования).
Следуя этим шагам, вы сможете значительно снизить риск установки WPS Office и защитить информационную безопасность вашей компании.