پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
در پی تصمیم شرکت مایکروسافت (Microsoft) برای مسدودسازی ماکرو در فایل‌هایی که از اینترنت دریافت می‌شوند، مهاجمان از روش‌های جایگزین نظیر افزونه‌های مخرب Excel برای انتشار بدافزارهای خود استفاده می‌کنند.
منبع : مرکز مدیریت راهبردی افتا
مرکز مدیریت راهبردی افتا: در پی تصمیم شرکت مایکروسافت (Microsoft) برای مسدودسازی ماکرو در فایل‌هایی که از اینترنت دریافت می‌شوند، مهاجمان از روش‌های جایگزین نظیر افزونه‌های مخرب Excel برای انتشار بدافزارهای خود استفاده می‌کنند.

به گزارش افتانا، برخی محصولات شرکت مایکرسافت، از جمله مجموعه نرم‌افزارهای آفیس، قابلیتی با عنوان Visual Basic for Applications- به اختصار VBA - معروف به ماکرو (Macros) دارند. کاربرانی همچون حسابداران، مهندسان صنایع و مدیران سیستم می‌توانند از ماکروها در درون فایل‌هایی همچون Word و Excel استفاده کنند. ماکروها سبب سرعت بخشیدن به اموری می‌شوند که روالی تکرارشونده دارند.

بر اساس گزارشی که شرکت سیسکو (Cisco) آن را منتشر کرده، مهاجمان به طور فزاینده‌ای از افزونه‌های (Add-in) نرم‌افزار Excel در قالب فایل‌های XLL به عنوان بردار نفوذ اولیه جهت آلوده‌سازی سیستم‌های کاربران و رخنه به سازمان‌ها استفاده می‌کنند.

مدتهاست که توزیع فایل‌های نرم‌افزارهای مختلف Office از طریق ایمیل‌های فیشینگ‌ (Spear-phishing) و سایر حملات مهندسی اجتماعی به طور گسترده توسط مهاجمان برای نفوذ به اهداف خود مورد استفاده قرار می‌گیرد.

این فایل‌ها معمولاً قربانی را تشویق می‌کنند تا قابلیت ماکرو را جهت مشاهده محتوای به ظاهر بی‌ضرر فعال کنند. حال آن که فعالسازی آن می‌تواند منجر به دریافت بدافزار از اینترنت و اجرای آن بر روی سیستم می‌شود. برای مقابله با این نوع از بهره‌جویی، مایکروسافت از مرداد ۱۴۰۱ قابلیت ماکرو را در فایل‌های Office پیوست‌شده به ایمیل مسدود نموده است.

هر چند این مسدودسازی تنها در نسخه‌های جدید Access، Excel، PowerPoint، Visio و Word اعمال شده، اما به دلیل کاهش اثربخشی، مهاجمان در حال آزمودن تکنیک‌های جایگزین هستند.

یکی از این روش‌های جدید استفاده از فایل‌های XLL است که توسط مایکروسافت به عنوان یک نوع فایل Dynamic Link Library – به اختصار DLL – در نظر گرفته می‌شود و تنها توسط Excel باز می‌شود.

فایل‌های XLL قابل ارسال از طریق ایمیل بوده و با توجه به غیرمعمول بودن استفاده از آنها، این امکان وجود دارد که به سادگی از سد محصولات ضدبدافزار عبور کنند.

به نظر می‌رسد مهاجمان مورد اشاره شرکت سیسکو، از ترکیبی از افزونه‌های معتبر در کنار افزونه‌های اختصاصی که از طریق یک ابزار رایگان با نام Excel-DNA توسعه داده ‌شده‌اند بهره می‌گیرند.

گفته می‌شود که اولین بهره‌جویی از فایل‌های XLL در سال ۱۳۹۶ رخ داده است؛ در جریان آن حمله، مهاجمان APT۱۰ (منتسب به هکرهای چینی که با نام مستعار Stone Panda نیز شناخته می‌شوند) از تکنیک Process Hollowing (تعویض فایل اجرایی و جایگزینی کد مخرب به جای آن) برای تزریق پیلود درپشتی به حافظه استفاده کردند.


از آن زمان، گروه‌های دیگر نظیر TA۴۱۰ (احتمالاً مرتبط با APT۱۰)، DoNot Team، FIN۷ و همچنین Agent Tesla، Arkei، Buer، Dridex، Ducktail، Ekipa RAT، FormBook، IcedID، Vidar Stealer و Warzone RAT در حا‌‌‌‌‌ل بکارگیری این روش در حملات خود می‌باشند.

پیش‌تر نیز شرکت پالو‌ آلتو‌ نتورکس (Palo Alto Networks) از سوءاستفاده از فایل‌های XLL جهت توزیع بدافزارهای Agent Tesla و Dridex خبر داده بود که همگی بیانگر استقبال فزاینده مهاجمان از این تکنیک جدید است.

هر چه تعداد کاربرانی که از نسخه‌های جدید Office استفاده می‌کنند افزایش پیدا کند، احتمال بهره‌جویی مهاجمان از فایل‌های XLL به‌جای سوءاستفاده از قابلیت VBA افزایش می‌یابد. این در حالی است که امروزه مهاجمان سایبری در حملات خود به دنبال سوءاستفاده از آسیب‌پذیری‌هایی که به تازگی کشف‌شده‌اند جهت راه‌اندازی کدهای مخرب در پروسه‌های نرم‌افزار Office نیز می‌باشند.

مسدوسازی ماکروها و ممانعت از اجرای آنها در فایل‌های دانلود شده از اینترنت توسط مایکروسافت در فایل‌های Publisher اعمال نمی‌شود و به تبهکاران سایبری امکان می‌دهد از این نرم‌افزار در حملات فیشینگ خود سوءاستفاده کنند. برای مثال می‌توان به بدافزار Ekipa RAT اشاره کرد که گردانندگانش از طریق فایل‌های Publisher که ماکروی مخرب به آنها تزریق شده بود برای توزیع آن بهره بردند.

بنابراین آموزش کاربران در پرهیز از فعالسازی قابلیت ماکرو به خصوص در فایل‌های مشکوک همچنان نقشی مهم و مؤثر در مقابله با این تهدیدات دارد.

شاخص‌های شناسایی(IOC) حملات صورت گرفته از طریق فایل‌های XLL در جدول زیر ارائه شده است:

کد مطلب : 20187
https://aftana.ir/vdchqzni.23nv6dftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی