مرکز آپا دانشگاه کردستان

استفاده از تکنیک جدید برای غیرفعال کردن فرایند بررسی امنیت اجرای ماکروها توسط هکرها

امروزه میزان حمله کمپین‌های فیشینگ بسیار افزایش یافته است، بنابراین برخورد با چنین حملاتی طبیعی است. به طور کلی، عوامل تهدید کننده کمپین های فیشینگ از اسناد مایکروسافت آفیس به عنوان سلاح خود استفاده می کنند تا قربانیان را قادر به فعال کردن ماکرو کنند تا بتوانند به راحتی زنجیره آلودگی را گسترش دهند. روز به روز تکنیک های عوامل تهدید در حال پیشرفت هستند تا بتوانند برای انجام یک حمله موفق، از فرایند شناسایی شدن فرار کنند. تکنیک های جدیدی که توسط عوامل تهدید مورد استفاده قرار می گیرد، با استفاده از مبهم‌سازی ماکرو،DDE ,LOLBAS و حتی استفاده از فرمت‌های legacy-supported XLS برای اجرای تمام عملیات خود است. اخیراً در طی تحقیقات امنیتی، کارشناسان آزمایشگاه McAfee روش بسیار جدیدی را کشف کرده اند که توسط عوامل تهدید در کمپین های فیشینگ استفاده می شود. این روش DLL های مخرب (Zloader) را بدون هیچ کد نامناسبی بارگیری و اجرا می کند که در ماکرو پیوست هرزنامه وجود دارد. بدافزاری که توسط متخصصان کشف شده است به عنوان یک ZeuS banking trojan شناخته می شود و طبق این گزارش، این بدافزار در کشورهای زیر مشاهده شده است: • ایالات متحده آمریکا • کانادا • اسپانیا • ژاپن • مالزی زنجیره آلودگی کارشناسان از طریق ایمیل با این سند آشنا شدند که دارای سندی است که در مایکروسافت word ارائه شده است و هر زمان کسی سند را باز کند و ماکرو مجاز باشد، به زودی دانلود سند و سپس pop-ups سند مایکروسافت اکسل با رمز عبور محافظت شده دیگر شروع می شود. پس از اتمام دانلود، از XLS Word VBA شروع به خواندن سلول می کند. بلافاصله پس از آن ماکرو جدیدی برای پرونده XLS تولید می کند. پس از آن، سند word خط مشی را در فهرست درج می کند تا بتواند به راحتی هشدار ماکرو اکسل را غیرفعال کند. تجزیه و تحلیل ماکرو Word و VBA برای ایمن نگه داشتن آن، ماکرو توسط مایکروسافت آفیس غیرفعال می شود، اما هکرها با این موضوع آشنا هستند و به همین دلیل برای فریب قربانیان تصویری جعلی ارائه می دهند تا به ماکروها اجازه دهند. با این حال، فایل اکسل که در دامنه مخرب ذخیره می شود، به طور کلی یک شیء برنامه اکسل را به سادگی با استفاده از تابع ()CreateObject تولید می کند و رشته ای را از Combobox-1 به وسیله Userform-1 که دارای رشته اکسل است، تفسیر می کند. تکنیک ها و تاکتیک های مورد استفاده توسط بدافزار برخی از تکنیک ها و تاکتیک ها توسط بدافزار استفاده شده است، و ما در اینجا آن ها را در زیر ذکر کردیم: E-mail Spear Phishing (T1566.001) Execution (T1059.005) Defense Evasion (T1218.011) Defense Evasion (T1562.001) کارشناسان در تلاش هستند تا تمام نقاط ضعف این بدافزار را کشف کنند و به دلیل برخی از موارد امنیتی، در حال حاضر، در برنامه های مایکروسافت آفیس به طور پیش فرض ماکرو آسیب دیده است. اما، پس از تحقیقات، محققان امنیتی تأیید كردند كه هنگام جمع آوری اطلاعات درخصوص این بدافزار، درصورت عدم دریافت مجوز اجرای ماکرو، اجرای غیر ایمن ماکرو ممکن نبوده است. تهیه و تدوین: تینا احمدی