در پی تصمیم شرکت مایکروسافت (Microsoft) برای مسدودسازی ماکرو در فایلهایی که از اینترنت دریافت میشوند، مهاجمان از روشهای جایگزین نظیر افزونههای مخرب Excel برای انتشار بدافزارهای خود استفاده میکنند.
منبع : مرکز مدیریت راهبردی افتا
مرکز مدیریت راهبردی افتا: در پی تصمیم شرکت مایکروسافت (Microsoft) برای مسدودسازی ماکرو در فایلهایی که از اینترنت دریافت میشوند، مهاجمان از روشهای جایگزین نظیر افزونههای مخرب Excel برای انتشار بدافزارهای خود استفاده میکنند.
به گزارش افتانا، برخی محصولات شرکت مایکرسافت، از جمله مجموعه نرمافزارهای آفیس، قابلیتی با عنوان Visual Basic for Applications- به اختصار VBA - معروف به ماکرو (Macros) دارند. کاربرانی همچون حسابداران، مهندسان صنایع و مدیران سیستم میتوانند از ماکروها در درون فایلهایی همچون Word و Excel استفاده کنند. ماکروها سبب سرعت بخشیدن به اموری میشوند که روالی تکرارشونده دارند.
بر اساس گزارشی که شرکت سیسکو (Cisco) آن را منتشر کرده، مهاجمان به طور فزایندهای از افزونههای (Add-in) نرمافزار Excel در قالب فایلهای XLL به عنوان بردار نفوذ اولیه جهت آلودهسازی سیستمهای کاربران و رخنه به سازمانها استفاده میکنند.
مدتهاست که توزیع فایلهای نرمافزارهای مختلف Office از طریق ایمیلهای فیشینگ (Spear-phishing) و سایر حملات مهندسی اجتماعی به طور گسترده توسط مهاجمان برای نفوذ به اهداف خود مورد استفاده قرار میگیرد.
این فایلها معمولاً قربانی را تشویق میکنند تا قابلیت ماکرو را جهت مشاهده محتوای به ظاهر بیضرر فعال کنند. حال آن که فعالسازی آن میتواند منجر به دریافت بدافزار از اینترنت و اجرای آن بر روی سیستم میشود. برای مقابله با این نوع از بهرهجویی، مایکروسافت از مرداد ۱۴۰۱ قابلیت ماکرو را در فایلهای Office پیوستشده به ایمیل مسدود نموده است.
هر چند این مسدودسازی تنها در نسخههای جدید Access، Excel، PowerPoint، Visio و Word اعمال شده، اما به دلیل کاهش اثربخشی، مهاجمان در حال آزمودن تکنیکهای جایگزین هستند.
یکی از این روشهای جدید استفاده از فایلهای XLL است که توسط مایکروسافت به عنوان یک نوع فایل Dynamic Link Library – به اختصار DLL – در نظر گرفته میشود و تنها توسط Excel باز میشود.
فایلهای XLL قابل ارسال از طریق ایمیل بوده و با توجه به غیرمعمول بودن استفاده از آنها، این امکان وجود دارد که به سادگی از سد محصولات ضدبدافزار عبور کنند.
به نظر میرسد مهاجمان مورد اشاره شرکت سیسکو، از ترکیبی از افزونههای معتبر در کنار افزونههای اختصاصی که از طریق یک ابزار رایگان با نام Excel-DNA توسعه داده شدهاند بهره میگیرند.
گفته میشود که اولین بهرهجویی از فایلهای XLL در سال ۱۳۹۶ رخ داده است؛ در جریان آن حمله، مهاجمان APT۱۰ (منتسب به هکرهای چینی که با نام مستعار Stone Panda نیز شناخته میشوند) از تکنیک Process Hollowing (تعویض فایل اجرایی و جایگزینی کد مخرب به جای آن) برای تزریق پیلود درپشتی به حافظه استفاده کردند.
از آن زمان، گروههای دیگر نظیر TA۴۱۰ (احتمالاً مرتبط با APT۱۰)، DoNot Team، FIN۷ و همچنین Agent Tesla، Arkei، Buer، Dridex، Ducktail، Ekipa RAT، FormBook، IcedID، Vidar Stealer و Warzone RAT در حال بکارگیری این روش در حملات خود میباشند.
پیشتر نیز شرکت پالو آلتو نتورکس (Palo Alto Networks) از سوءاستفاده از فایلهای XLL جهت توزیع بدافزارهای Agent Tesla و Dridex خبر داده بود که همگی بیانگر استقبال فزاینده مهاجمان از این تکنیک جدید است.
هر چه تعداد کاربرانی که از نسخههای جدید Office استفاده میکنند افزایش پیدا کند، احتمال بهرهجویی مهاجمان از فایلهای XLL بهجای سوءاستفاده از قابلیت VBA افزایش مییابد. این در حالی است که امروزه مهاجمان سایبری در حملات خود به دنبال سوءاستفاده از آسیبپذیریهایی که به تازگی کشفشدهاند جهت راهاندازی کدهای مخرب در پروسههای نرمافزار Office نیز میباشند.
مسدوسازی ماکروها و ممانعت از اجرای آنها در فایلهای دانلود شده از اینترنت توسط مایکروسافت در فایلهای Publisher اعمال نمیشود و به تبهکاران سایبری امکان میدهد از این نرمافزار در حملات فیشینگ خود سوءاستفاده کنند. برای مثال میتوان به بدافزار Ekipa RAT اشاره کرد که گردانندگانش از طریق فایلهای Publisher که ماکروی مخرب به آنها تزریق شده بود برای توزیع آن بهره بردند.
بنابراین آموزش کاربران در پرهیز از فعالسازی قابلیت ماکرو به خصوص در فایلهای مشکوک همچنان نقشی مهم و مؤثر در مقابله با این تهدیدات دارد.
شاخصهای شناسایی(IOC) حملات صورت گرفته از طریق فایلهای XLL در جدول زیر ارائه شده است: