تحقیقات جدید شرکت Deep Instinct نشان میدهد که هکرها با استفاده از ابزار VSTO بدافزارهایی را از طریق برنامههای آفیس روی سیستم قربانیها منتشر میکنند.
۰
تحقیقات جدید شرکت Deep Instinct نشان میدهد که هکرها با استفاده از ابزار VSTO بدافزارهایی را از طریق برنامههای آفیس روی سیستم قربانیها منتشر میکنند.
به گزارش افتانا به نقل از Deep Instinct، ماکروهای Office Visual Basic for Applications (VBA) یک ابزار اصلی برای عوامل تهدید سایبری برای چندین دهه محسوب میشود.
قابلیتهای این ماکروها عاملان تهدید باهوش را قادر میسازد تا مجموعهای گیجکننده از بدافزار را به دستگاههای بیشماری در سراسر جهان ارائه کنند. در طی آن زمان، آنها به عنوان رایجترین عامل حمله برای آلوده کردن و به خطر انداختن رایانههای شخصی ویندوزی عمل کردهاند. آنها همچنین بهعنوان بخش مهمی از اولین پیوند در زنجیره کشتار مخرب عمل میکنند که منجر به آسیبهای شبکه، نقض دادهها و حوادث باجافزار میشود.
به گزارش افتانا به نقل از Deep Instinct، ماکروهای Office Visual Basic for Applications (VBA) یک ابزار اصلی برای عوامل تهدید سایبری برای چندین دهه محسوب میشود.
قابلیتهای این ماکروها عاملان تهدید باهوش را قادر میسازد تا مجموعهای گیجکننده از بدافزار را به دستگاههای بیشماری در سراسر جهان ارائه کنند. در طی آن زمان، آنها به عنوان رایجترین عامل حمله برای آلوده کردن و به خطر انداختن رایانههای شخصی ویندوزی عمل کردهاند. آنها همچنین بهعنوان بخش مهمی از اولین پیوند در زنجیره کشتار مخرب عمل میکنند که منجر به آسیبهای شبکه، نقض دادهها و حوادث باجافزار میشود.
VSTO چیست؟
با VSTO، یکی از ابزارهای توسعه نرمافزار در مجموعه Visual Studio IDE است که امکان ساخت افزونه (Add-in) برای برنامههای مختلف آفیس را در بستر .NET فراهم میکند.
با VSTO میتوان فایلهایی را نیز ایجاد کرد تا در زمان باز شدن در برنامههای آفیس افزونه را نصب و اجرا کنند.
شرکت مایکروسافت از سال گذشته میلادی، محدودیتهای سختگیرانهای را برای اجرای قابلیت ماکرو (Macro) در مجموعه نرمافزاری آفیس اعمال کرده است. هدف از این کار مقابله با آن دسته بدافزارهایی است که طریق قابلیت یادشده به دستگاه کاربران راه پیدا میکنند.
در نتیجه اعمال این محدودیتهای مایکروسافت، اکنون، مدتی است که مهاجمان در حال روی آوردن به روشهای جایگزین هستند. بهکارگیری VSTO میتواند جایگزینی کارآمد برای مهاجمانی باشد که همچنان در پی انتشار بدافزارهای خود توسط فایلهای آفیس هستند.
افزونههای مبتنی بر VSTO میتوانند هم در یک فایل Office – نظیر docx – جاسازی و به صورت محلی (Local) اجرا شوند و هم میتوانند بهصورت از راه دور فراخوانی و در ادامه اجرا شوند.
اگر چه بسیاری از مهاجمان، اجرای Local را به جهت احتمال بیشتر در عبور از سد کنترلهای امنیتی ترجیح میدهند اما شرکت Deep Instinct حملاتی را شناسایی کرده که در آن، از روش راه دور برای اجرای افزونههای مبتنی بر VSTO بهره گرفته شده است. نشانه این فایلها (فایلی Office حاوی VSTO)، وجود پارامتر custom.xml است که برنامه Office را از مسیر افزونه آگاه میکند.
با VSTO میتوان فایلهایی را نیز ایجاد کرد تا در زمان باز شدن در برنامههای آفیس افزونه را نصب و اجرا کنند.
شرکت مایکروسافت از سال گذشته میلادی، محدودیتهای سختگیرانهای را برای اجرای قابلیت ماکرو (Macro) در مجموعه نرمافزاری آفیس اعمال کرده است. هدف از این کار مقابله با آن دسته بدافزارهایی است که طریق قابلیت یادشده به دستگاه کاربران راه پیدا میکنند.
در نتیجه اعمال این محدودیتهای مایکروسافت، اکنون، مدتی است که مهاجمان در حال روی آوردن به روشهای جایگزین هستند. بهکارگیری VSTO میتواند جایگزینی کارآمد برای مهاجمانی باشد که همچنان در پی انتشار بدافزارهای خود توسط فایلهای آفیس هستند.
افزونههای مبتنی بر VSTO میتوانند هم در یک فایل Office – نظیر docx – جاسازی و به صورت محلی (Local) اجرا شوند و هم میتوانند بهصورت از راه دور فراخوانی و در ادامه اجرا شوند.
اگر چه بسیاری از مهاجمان، اجرای Local را به جهت احتمال بیشتر در عبور از سد کنترلهای امنیتی ترجیح میدهند اما شرکت Deep Instinct حملاتی را شناسایی کرده که در آن، از روش راه دور برای اجرای افزونههای مبتنی بر VSTO بهره گرفته شده است. نشانه این فایلها (فایلی Office حاوی VSTO)، وجود پارامتر custom.xml است که برنامه Office را از مسیر افزونه آگاه میکند.
Local VSTO
در این روش، معمولاً فایل Office همراه با متعلقات در قالب یک فایل ISO به قربانی ایمیل میشود. مهاجمان، برای عدم شناسایی فایلها توسط قربانی، ویژگی "Hidden" را بر روی آنها اعمال میکنند.
همانطور که در روش انتشار از طریق ماکرو شاهد بودیم مهاجمان سایبری با بهرهگیری از تکنیکهای مهندسی اجتماعی، محتوای فایل را به نحوی طراحی میکنند که قربانی متقاعد به فعالسازی قابلیت مورد نظر –اجرای افزونه – شود.
تصویر زیر، محتوای فایل custom.xml افزوده شده به فایل docx را نمایش میدهد که در آن به فایل افزونه اشاره میشود.
در جریان یکی از بررسیها، افزونه مخرب اقدام به اجرای یک اسکریپت PowerShell رمزگذاری و فشردهشده بر روی سیستم میکرد.
همانطور که در روش انتشار از طریق ماکرو شاهد بودیم مهاجمان سایبری با بهرهگیری از تکنیکهای مهندسی اجتماعی، محتوای فایل را به نحوی طراحی میکنند که قربانی متقاعد به فعالسازی قابلیت مورد نظر –اجرای افزونه – شود.
تصویر زیر، محتوای فایل custom.xml افزوده شده به فایل docx را نمایش میدهد که در آن به فایل افزونه اشاره میشود.
در جریان یکی از بررسیها، افزونه مخرب اقدام به اجرای یک اسکریپت PowerShell رمزگذاری و فشردهشده بر روی سیستم میکرد.
Remote VSTO
روش Remote نیز مشابه با روش Local است؛ با این تفاوت که در فایل custom.xml آن به افزونهای اشاره میشود که بر روی یک سرور از راه دور قرار دارد.
علاوه بر بهرهگیری از راهکارهای امنیت نقاط پایانی، آموزش کاربران نقشی مؤثر در مقابله با این تهدیدات دارد.
منبع: Deep Instinct
علاوه بر بهرهگیری از راهکارهای امنیت نقاط پایانی، آموزش کاربران نقشی مؤثر در مقابله با این تهدیدات دارد.
منبع: Deep Instinct
کد مطلب : 20925
https://aftana.ir/vdchmwni.23nvidftt2.htmlaftana.ir/vdchmwni.23nvidftt2.html
تگ ها
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵