تحلیل دانشمندان ترندمیکرو
سوءاستفاده از پست‌اسکریپت برای توزیع بدافزار
کد مطلب: 13198
تاریخ انتشار : سه شنبه ۲۸ شهريور ۱۳۹۶ ساعت ۱۳:۰۰
 
محققان ترندمیکرو دریافتند که واژه‌پرداز Hangul و زبان برنامه‌نویسی پست‌اسکریپت برای توزیع بدافزار مورد بهره‌برداری مهاجمان قرار می‌گیرند.
سوءاستفاده از پست‌اسکریپت برای توزیع بدافزار
 
 
Share/Save/Bookmark
محققان ترندمیکرو دریافتند که مهاجمان از واژه‌پرداز Hangul و زبان برنامه‌نویسی پست‌اسکریپت برای توزیع بدافزار سوءاستفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان ترندمیکرو حملات بدافزاری را گزارش کردند که برای هدف قرار دادن کاربران از برنامه‌ واژه‌پرداز Hangul استفاده‌می‌کنند. مهاجمان بار دیگر برنامه واژه‌پرداز HWP را برای هدف قرار دادن کاربران در کره‌ جنوبی استفاده‌ کردند. این برنامه در کره جنوبی بسیار محبوب است و در چندین عملیات نفوذ علیه اشخاص کشور مورد بهره‌برداری قرار گرفته‌است. در حملات اخیر، نفوذگران از واژه‌پرداز Hangul همراه با زبان برنامه‌نویسی پست‌اسکریپت استفاده‌ می‌کنند. مهاجمان از ایمیل‌هایی که پیوست‌های مخرب دارند برای ارائه این بدافزار استفاده می‌کنند.

ترندمیکرو در بیانیه‌ای اعلام کرد: «یک نسخه  با نام پست‎‌اسکریپت بسته‌بندی‌شده در پست‌اسکریپت وجود دارد که محدودیت‌هایی را به کدی که ممکن است درحال اجرا باشد، اضافه می‌کند. قرار است باز کردن اسناد امن‌تر شود، اما متاسفانه نسخه‌های قدیمی‌تر HWP این محدودیت‌ها را به‌طور نامناسبی پیاده‌سازی کرده‌اند. ما بررسی پیوست‌‌های شامل پست‌اسکریپت مخربی را که برای نصب کلید‌های میان‌بر یا پرونده‌های مخرب حقیقی در سامانه مورد نفوذ، استفاده می‌شوند، شروع کرده‌ایم.»

اگرچه پست‌اسکریپت بسته‌بندی‌شده، زمان باز کردن یک سند، محدودیت‌هایی را به امن کردن سامانه اضافه می‌کند، نسخه‌های قدیمی‌تر HWP این محدودیت را به طور نامناسبی پیاده‌سازی کرده‌اند. مهاجمان به استفاده از پیوست‌های حاوی پست‌اسکریپت مخرب برای قرار دادن کلید‌های میان‌بر یا پرونده‌‌های مخرب بر روی سامانه تحت نفوذ روی آورده‌اند.

کارشناسان این نکته را یادآور شدند که بعضی از این خط‌های عنوان و نام‌های ‌اسناد که توسط مهاجمان مورد استفاده قرار گرفته‌بودند شامل «بیت‌کوین» و «استانداردسازی امنیت مالی» بودند.

محققان تأکید کردند که مهاجمان از یک بهره‌برداری واقعی استفاده نمی‌کنند، اما از یک ویژگی پست‌اسکریپت برای دستکاری پرونده‌ها سوءاستفاده می‌کنند. پست‌اسکریپت قادر به اجرای دستورات شل نیست، اما مهاجمان با قرار دادن پرونده‌هایی در پوشه‌های راه‌اندازی مختلف، رفتار مشابهی را فراهم می‌کنند، سپس زمانی‌که کاربر ماشین را دوباره راه‌اندازی می‌کند، این پروند‌ه‌ها اجرا می‌شوند.

چند مورد از راه‌های مشاهده‌شده در بررسی‌ها که در این تحلیل آمده‌است به شرح زیر است:
۱) یک کلید میان‌بر در پوشه راه‌اندازی قرار می‌دهند که MSHTA.exe را اجرا می‌کند تا یک پرونده جاوااسکریپت را اجرا کند.

۲) یک کلید میان‌بر در پوشه راه‌اندازی و یک پرونده‌ DLL در مسیر ٪ Temp٪ قرار می‌دهند. این کلید میان‌بر، rundll۳۲.exe را برای اجرای پرونده DLL ذکر شده، فراخوانی می‌کند.

۳) یک پرونده قابل اجرا در پوشه راه‌اندازی قرار می‌دهند.

یکی از حملات مشاهده‌شده توسط محققان ترندمیکرو، پرونده gswin۳۲c.exe را بازنویسی می‌کند که در آن مفسر پست‌اسکریپت توسط برنامه‌ واژه‌پرداز Hangul استفاده می‌شود. این پرونده با یک نسخه قانونی Calc.exe جایگزین شده‌است و به این ترتیب مهاجمان از اجرای دیگر محتوای پست‌اسکریپت جاسازی‌شده جلوگیری می‌کنند. نسخه‌های جدیدتر واژه‌پرداز Hangul، راهکار EPS را به‌درستی پیاده‌سازی کرده‌اند و به همین دلیل کاربران برای اینکه ایمن بمانند باید این برنامه را ارتقا دهند.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات