افتانا 13 شهريور 1398 ساعت 17:00 http://www.aftana.ir/fa/doc/news/15749/asruex-اسناد-pdf-word-آلوده-می-کند -------------------------------------------------- عنوان : ASRUEX اسناد PDF و WORD را آلوده می‌کند -------------------------------------------------- بدافزار ASRUEX از آسيب‌پذيری‌های قديمی برای آلوده‌سازی اسناد PDF و WORD سوءاستفاده می‌کند. متن : بدافزار ASRUEX از آسيب پذيری های قديمی برای آلوده سازی اسناد PDF و WORD سوءاستفاده می کند. به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طبق گزارش های Trend Micro، نوع جدیدی از فعالیت های درِ پشتی ‫Asruex مشاهده شده است که ‫آسیب پذیری های قدیمی در Microsoft Office و Adobe Reader و Acrobat ۹.x را هدف قرار می دهد. Asruex ابتدا در سال ۲۰۱۵ کشف شد و قبلاً با جاسوس افزار DarkHotel همراه بود. DarkHotel گروه شناخته شده ای است که بازدیدکنندگان تجاری هتل را از طریق شبکه WiFi هتل هدف قرار می دهد. به نظر می ر سد بدافزار Asruex علاوه بر قابلیت های درِ پشتی، می تواند دو آسیب پذیری قدیمی با شناسه های CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۰-۲۸۸۳ را نیز هدف قرار دهد. آسیب پذیری CVE-۲۰۱۲-۰۱۵۸، یک نقص بحرانی سرریز بافر در یک مؤلفه ActiveX در نسخه های ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ است که سوءاستفاده از آن منجر به اجرای کد از راه دور می شود. آسیب پذیری CVE-۲۰۱۰-۲۸۸۳، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می تواند برای تزریق کد به فایل های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب پذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده ای مورد سوءاستفاده قرار گرفته بود. با توجه به اینکه ممکن است محققان فایل ها را برای آلوده سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت های درِ پشتی آن باشد، این قابلیت های منحصربه فرد آلوده سازی، شناسایی حملات را به طور بالقوه دشوارتر می سازد. به گفته Trend Micro، این نوع از بدافزار Asruex به گونه ای طراحی شده است که سازمان هایی که نسخه های وصله نشده Adobe Reader ۹.x تا پیش از ۹.۴ و نسخه های Acrobat ۸.x تا پیش از ۸.۲.۵ را در Windows و Mac OS X استفاده می کنند، هدف قرار می دهد. Asruex برای آلوده کردن ماشین ها از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می کند. این بدافزار، برای انتشار از درایوهای قابل جابه جایی و درایوهای شبکه استفاده می کند. نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملان پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود. اگر این فایل PDF توسط نسخه های قدیمی تر Adobe Reader و Adobe Acrobat باز شود، آلوده ساز را در پس زمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده می شود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیب پذیری CVE-۲۰۱۰-۲۸۸۳ در حین افزودن فایل میزبان سوء استفاده می کند، استفاده می شود. این بدافزار شامل چندین ویژگی ضد اشکال زدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system۳۲\kernel۳۲.dll، آن را تشخیص می دهد و همچنین با بازبینی نام های رایانه، نام کاربر، توابع صادرشده توسط ماژول های بارگذاری شده، پروسه های در حال اجرا و رشته های خاص در نام های دیسک، بررسی می کند که آیا در یک محیط جعبه شنی اجرا می شود یا خیر. پس از گذراندن این بررسی ها، درب پشتی بدافزار نصب می شود و سرقت اطلاعات می تواند آغاز شود. فایل PDF همچنین یک DLL که مناسب قابلیت های آلوده سازی و درب پشتی بدافزار است، به حافظه ی پردازش ویندوز تزریق می کند. آسیب پذیری CVE-۲۰۱۲-۰۱۵۸ از سوی دیگر به مهاجمان اجازه می دهد کد دلخواه را از طریق یک سند Word یا وب سایت، از راه دور اجرا کنند. فرایند آلوده سازی این سند مشابه فایل های PDF است. این بدافزار علاوه بر فایل های PDF و اسناد Word، فایل های اجرایی را نیز آلوده می سازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری می کند و آن را به صورت بخش .EBSS خودش، ضمیمه می کند. بنابراین می تواند هم آلوده ساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا کند. این نوع بدافزار به دلیل استفاده از آسیب پذیری هایی که بیش از ۵ سال پیش کشف شده اند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشان دهنده آن است که مجرمان سایبری این بدافزار که آن را ابداع کرده اند، می دانند هنوز کاربرانی هستند که نسخه های جدیدتری از نرم افزار Adobe Acrobat و Adobe Reader را وصله یا به روزرسانی نکرده اند. لذا وجود چنین بدافزارهایی نیاز سازمان ها به استفاده از بهترین شیوه ها برای به روزرسانی و وصله کردن نرم افزارهای دارای آسیب پذیری های بحرانی را تأکید می کنند.