بدافزار ASRUEX از آسيبپذيریهای قديمی برای آلودهسازی اسناد PDF و WORD سوءاستفاده میکند.
منبع : مرکز ماهر
بدافزار ASRUEX از آسيبپذيریهای قديمی برای آلودهسازی اسناد PDF و WORD سوءاستفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طبق گزارشهای Trend Micro، نوع جدیدی از فعالیتهای درِ پشتی Asruex مشاهده شدهاست که آسیبپذیریهای قدیمی در Microsoft Office و Adobe Reader و Acrobat ۹.x را هدف قرار میدهد.
Asruex ابتدا در سال ۲۰۱۵ کشف شد و قبلاً با جاسوسافزار DarkHotel همراه بود. DarkHotel گروه شناختهشدهای است که بازدیدکنندگان تجاری هتل را از طریق شبکه WiFi هتل هدف قرار میدهد. به نظر میرسد بدافزار Asruex علاوه بر قابلیتهای درِ پشتی، میتواند دو آسیبپذیری قدیمی با شناسههای CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۰-۲۸۸۳ را نیز هدف قرار دهد.
آسیبپذیری CVE-۲۰۱۲-۰۱۵۸، یک نقص بحرانی سرریز بافر در یک مؤلفه ActiveX در نسخههای ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ است که سوءاستفاده از آن منجر به اجرای کد از راه دور میشود.
آسیبپذیری CVE-۲۰۱۰-۲۸۸۳، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که میتواند برای تزریق کد به فایلهای PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیبپذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گستردهای مورد سوءاستفاده قرار گرفتهبود.
با توجه به اینکه ممکن است محققان فایلها را برای آلودهسازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیتهای درِ پشتی آن باشد، این قابلیتهای منحصربهفرد آلودهسازی، شناسایی حملات را بهطور بالقوه دشوارتر میسازد.
به گفته Trend Micro، این نوع از بدافزار Asruex به گونهای طراحی شدهاست که سازمانهایی که نسخههای وصله نشده Adobe Reader ۹.x تا پیش از ۹.۴ و نسخههای Acrobat ۸.x تا پیش از ۸.۲.۵ را در Windows و Mac OS X استفاده میکنند، هدف قرار میدهد.
Asruex برای آلودهکردن ماشینها از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده میکند. این بدافزار، برای انتشار از درایوهای قابل جابهجایی و درایوهای شبکه استفاده میکند.
نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملان پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شدهبود.
اگر این فایل PDF توسط نسخههای قدیمیتر Adobe Reader و Adobe Acrobat باز شود، آلودهساز را در پسزمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده میشود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیبپذیری CVE-۲۰۱۰-۲۸۸۳ در حین افزودن فایل میزبان سوءاستفاده میکند، استفاده میشود. این بدافزار شامل چندین ویژگی ضد اشکالزدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system۳۲\kernel۳۲.dll، آن را تشخیص میدهد و همچنین با بازبینی نامهای رایانه، نام کاربر، توابع صادرشده توسط ماژولهای بارگذاریشده، پروسههای در حال اجرا و رشتههای خاص در نامهای دیسک، بررسی میکند که آیا در یک محیط جعبه شنی اجرا میشود یا خیر. پس از گذراندن این بررسیها، دربپشتی بدافزار نصب میشود و سرقت اطلاعات میتواند آغاز شود.
فایل PDF همچنین یک DLL که مناسب قابلیتهای آلودهسازی و دربپشتی بدافزار است، به حافظهی پردازش ویندوز تزریق میکند. آسیبپذیری CVE-۲۰۱۲-۰۱۵۸ از سوی دیگر به مهاجمان اجازه میدهد کد دلخواه را از طریق یک سند Word یا وبسایت، از راه دور اجرا کنند. فرایند آلودهسازی این سند مشابه فایلهای PDF است.
این بدافزار علاوهبر فایلهای PDF و اسناد Word، فایلهای اجرایی را نیز آلوده میسازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری میکند و آن را به صورت بخش .EBSS خودش، ضمیمه میکند. بنابراین میتواند هم آلودهساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا کند.
این نوع بدافزار بهدلیل استفاده از آسیبپذیریهایی که بیش از ۵ سال پیش کشف شدهاند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشاندهنده آن است که مجرمان سایبری این بدافزار که آن را ابداع کردهاند، میدانند هنوز کاربرانی هستند که نسخههای جدیدتری از نرمافزار Adobe Acrobat و Adobe Reader را وصله یا بهروزرسانی نکردهاند. لذا وجود چنین بدافزارهایی نیاز سازمانها به استفاده از بهترین شیوهها برای بهروزرسانی و وصلهکردن نرمافزارهای دارای آسیبپذیریهای بحرانی را تأکید میکنند.