‫ سوءاستفاده‌ی بدافزار ASRUEX از آسيب‌پذيری‌های قديمی جهت آلوده‌سازی اسناد PDF و WORD

‫ سوءاستفاده‌ی بدافزار ASRUEX از آسيب‌پذيری‌های قديمی جهت آلوده‌سازی اسناد PDF و WORD

طبق گزارش‌های Trend Micro، نوع جدیدی از فعالیت‌های درب‌پشتی ‫Asruex مشاهده شده است که ‫آسیب‌پذیری‌های قدیمی در Microsoft Office و Adobe Reader و Acrobat 9.x را هدف قرار می‌دهد. Asruex ابتدا در سال 2015 کشف شد و قبلاً با جاسوس‌افزار DarkHotel همراه بود. DarkHotel گروه شناخته‌شده‌ای است که بازدیدکنندگان تجاری هتل را از طریق شبکه‌ی WiFi هتل هدف قرار می‌دهد. به نظر می‌ر‌سد بدافزار Asruex علاوه بر قابلیت‌های درب‌پشتی، می‌تواند دو آسیب‌پذیری قدیمی با شناسه‌های CVE-2012-0158 و CVE-2010-2883 را نیز هدف قرار دهد. آسیب‌پذیری CVE-2012-0158، یک نقص بحرانی سرریز بافر در یک مؤلفه‌ی ActiveX در نسخه‌های 2003، 2007 و 2010 است که سوءاستفاده از آن منجر به اجرای کد از راه دور می‌شود. آسیب‌‌پذیری CVE-2010-2883، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می‌تواند برای تزریق کد به فایل‌های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب‌‌پذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده‌ای مورد سوءاستفاده قرار گرفته بود. با توجه به اینکه ممکن است محققان فایل‌ها را برای آلوده‌سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت‌های درب‌پشتی آن باشد، این قابلیت‌های منحصربه‌فرد آلوده‌سازی ، شناسایی حملات را به طور بالقوه دشوارتر می‌سازد. به گفته‌ی Trend Micro، این نوع از بدافزار Asruex به گونه‌ای طراحی شده است که سازمان‌هایی که نسخه‌های وصله‌ی نشده‌ی Adobe Reader 9.x تا پیش از 9.4 و نسخه‌های Acrobat 8.x تا پیش از 8.2.5 را در Windows و Mac OS X استفاده می‌کنند، هدف قرار می‌دهد. Asruex برای آلوده‌کردن ماشین‌ها، از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می‌کند. این بدافزار، برای انتشار از درایوهای قابل جابجایی و درایوهای شبکه استفاده می‌‌کند. نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملین پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود. اگر این فایل PDF توسط نسخه‌های قدیمی‌تر Adobe Reader و Adobe Acrobat باز شود، آلوده‌ساز را در پس‌زمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده می‌شود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیب‌پذیری CVE-2010-2883 در حین افزودن فایل میزبان سوء‌استفاده می‌کند، استفاده می‌شود. این بدافزار شامل چندین ویژگی ضد اشکال‌زدایی و ضد تقلید است. این نوع بدافزار در صورت وجود SandboxWINDOWSsystem32kernel32.dll، آن را تشخیص می‌دهد و همچنین با بازبینی نام‌های رایانه، نام کاربر، توابع صادرشده توسط ماژول‌های بارگذاری‌شده، پروسه‌های در حال اجرا و رشته‌های خاص در نام‌های دیسک، بررسی می‌کند که آیا در یک محیط جعبه شنی اجرا می‌شود یا خیر. پس از گذراندن این بررسی‌ها، درب‌پشتی بدافزار نصب می‌شود و سرقت اطلاعات می‌تواند آغاز شود. فایل PDF همچنین یک DLL که مناسب قابلیت‌های آلوده‌سازی و درب‌پشتی بدافزار است، به حافظه‌ی پردازش ویندوز تزریق می‌کند. آسیب‌پذیری CVE-2012-0158 از سوی دیگر به مهاجمان اجازه می‌دهد کد دلخواه را از طریق یک سند Word یا وب‌سایت، از راه دور اجرا کنند. فرایند آلوده‌سازی این سند مشابه فایل‌های PDF است. این بدافزار علاوه بر فایل‌های PDF و اسناد Word، فایل‌های اجرایی را نیز آلوده می‌سازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری می‌کند و آن را به صورت بخش .EBSS خودش، ضمیمه می‌کند. بنابراین می‌تواند هم آلوده‌ساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا نماید. این نوع بدافزار به دلیل استفاده از آسیب‌پذیری‌هایی که بیش از 5 سال پیش کشف شده‌اند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشان‌دهنده‌ی آن است که مجرمان سایبری این بدافزار که آن را ابداع کرده‌اند، می‌دانند هنوز کاربرانی هستند که نسخه‌های جدیدتری از نرم‌افزار Adobe Acrobat و Adobe Reader را وصله یا به‌روزرسانی نکرده‌اند. لذا، وجود چنین بدافزارهایی نیاز سازمان‌ها به استفاده از بهترین شیوه‌ها برای به‌روزرسانی و وصله‌کردن نرم‌افزارهای دارای آسیب‌پذیری‌های بحرانی را تأکید می‌کنند.