ASRUEX اسناد PDF و WORD را آلوده می‌کند
کد مطلب: 15749
تاریخ انتشار : چهارشنبه ۱۳ شهريور ۱۳۹۸ ساعت ۱۷:۰۰
 
بدافزار ASRUEX از آسيب‌پذيری‌های قديمی برای آلوده‌سازی اسناد PDF و WORD سوءاستفاده می‌کند.
ASRUEX اسناد PDF و WORD را آلوده می‌کند
 
 
Share/Save/Bookmark
بدافزار ASRUEX از آسيب‌پذيری‌های قديمی برای آلوده‌سازی اسناد PDF و WORD سوءاستفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طبق گزارش‌های Trend Micro، نوع جدیدی از فعالیت‌های درِ پشتی ‫Asruex مشاهده شده‌است که ‫آسیب‌پذیری‌های قدیمی در Microsoft Office و Adobe Reader و Acrobat ۹.x را هدف قرار می‌دهد.

Asruex ابتدا در سال ۲۰۱۵ کشف شد و قبلاً با جاسوس‌افزار DarkHotel همراه بود. DarkHotel گروه شناخته‌شده‌ای است  که بازدیدکنندگان تجاری هتل را از طریق شبکه‌ WiFi هتل هدف قرار می‌دهد. به نظر می‌ر‌سد بدافزار Asruex علاوه بر قابلیت‌های درِ پشتی، می‌تواند دو آسیب‌پذیری قدیمی با شناسه‌های CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۰-۲۸۸۳ را نیز هدف قرار دهد.

آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸، یک نقص بحرانی سرریز بافر در یک مؤلفه‌ ActiveX در نسخه‌های ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ است که سوءاستفاده از آن منجر به اجرای کد از راه دور می‌شود.

آسیب‌‌پذیری CVE-۲۰۱۰-۲۸۸۳، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می‌تواند برای تزریق کد به فایل‌های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب‌‌پذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده‌ای مورد سوءاستفاده قرار گرفته‌بود.

با توجه به اینکه ممکن است محققان فایل‌ها را برای آلوده‌سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت‌های درِ پشتی آن باشد، این قابلیت‌های منحصربه‌فرد آلوده‌سازی، شناسایی حملات را به‌طور بالقوه دشوارتر می‌سازد.

به گفته‌ Trend Micro، این نوع از بدافزار Asruex به گونه‌ای طراحی شده‌است که سازمان‌هایی که نسخه‌های وصله‌ نشده‌ Adobe Reader ۹.x تا پیش از ۹.۴ و نسخه‌های Acrobat ۸.x تا پیش از ۸.۲.۵ را در Windows و Mac OS X استفاده می‌کنند، هدف قرار می‌دهد.

Asruex برای آلوده‌کردن ماشین‌ها از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می‌کند. این بدافزار، برای انتشار از درایوهای قابل جابه‌جایی و درایوهای شبکه استفاده می‌‌کند.

نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملان پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده‌بود.

اگر این فایل PDF توسط نسخه‌های قدیمی‌تر Adobe Reader و Adobe Acrobat باز شود، آلوده‌ساز را در پس‌زمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده می‌شود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیب‌پذیری CVE-۲۰۱۰-۲۸۸۳ در حین افزودن فایل میزبان سوء‌استفاده می‌کند، استفاده می‌شود. این بدافزار شامل چندین ویژگی ضد اشکال‌زدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system۳۲\kernel۳۲.dll، آن را تشخیص می‌دهد و همچنین با بازبینی نام‌های رایانه، نام کاربر، توابع صادرشده توسط ماژول‌های بارگذاری‌شده، پروسه‌های در حال اجرا و رشته‌های خاص در نام‌های دیسک، بررسی می‌کند که آیا در یک محیط جعبه شنی اجرا می‌شود یا خیر. پس از گذراندن این بررسی‌ها، درب‌پشتی بدافزار نصب می‌شود و سرقت اطلاعات می‌تواند آغاز شود.

فایل PDF همچنین یک DLL که مناسب قابلیت‌های آلوده‌سازی و درب‌پشتی بدافزار است، به حافظه‌ی پردازش ویندوز تزریق می‌کند. آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ از سوی دیگر به مهاجمان اجازه می‌دهد کد دلخواه را از طریق یک سند Word یا وب‌سایت، از راه دور اجرا کنند. فرایند آلوده‌سازی این سند مشابه فایل‌های PDF است.

این بدافزار علاوه‌بر فایل‌های PDF و اسناد Word، فایل‌های اجرایی را نیز آلوده می‌سازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری می‌کند و آن را به صورت بخش .EBSS خودش، ضمیمه می‌کند. بنابراین می‌تواند هم آلوده‌ساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا کند.

این نوع بدافزار به‌دلیل استفاده از آسیب‌پذیری‌هایی که بیش از ۵ سال پیش کشف شده‌اند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشان‌دهنده‌ آن است که مجرمان سایبری این بدافزار که آن را ابداع کرده‌اند، می‌دانند هنوز کاربرانی هستند که نسخه‌های جدیدتری از نرم‌افزار Adobe Acrobat و Adobe Reader را وصله یا به‌روزرسانی نکرده‌اند. لذا وجود چنین بدافزارهایی نیاز سازمان‌ها به استفاده از بهترین شیوه‌ها برای به‌روزرسانی و وصله‌کردن نرم‌افزارهای دارای آسیب‌پذیری‌های بحرانی را تأکید می‌کنند.
مرجع : مرکز ماهر