موج جدیدی از کیت‌­های بهره‌برداری مخرب، مایکروسافت‌آفیس را مورد هدف قرار داده‌اند.

مایکروسافت‌آفیس، هدف جدید کیت‌های بهره‌برداری مخرب

موج جدیدی از کیت­‌های بهره‌برداری مخرب، مایکروسافت آفیس را مورد هدف قرار داده‌اند:

نویسندگان بدافزار مرتباً به دنبال تکنیک‌­هایی خلاقانه به‌منظور گسترش بدافزار و آلوده ساختن کاربران رایانه‌­ها هستند. امسال، کیت­‌های بهره‌برداری (exploit-kits) یکی از رایج‌­ترین روش­‌های آلوده‌­سازی توسط مجرمان سایبری بودند، که از این طریق به اجرای کدهای مخرب و کنترل رایانه­ و سیستم می‌پردازند.

در طول هفته‌ گذشته، کیت‌های بهره‌برداری مختلفی توجه خود را به آسیب‌پذیری‌های موجود در مایکروسافت آفیس معطوف داشته‌اند. به‌منظور آشنایی افراد با کلمه‌ “کیت‌های بهره‌برداری (exploit kits)” باید گفت؛ کیت‌­های بهره‌برداری، برنامه‌­هایی رایانه­‌ای هستند که برای یافتن آسیب­‌پذیری مرورگرها، سیستم‌عامل‌ها، و سایر برنامه‌­هایی همچون فلش به کار می‌روند.

این نرم‌­افزارها، در مواردی که مهاجمان، سیستم شما را پویش می‌­کنند، غالباً در صف اول تهاجمات سایبری cyber attack قرار می‌گیرند و  از آسیب‌­پذیری‌­ها، سوء­استفاده کرده و بدافزار را روی دستگاه هدف نصب می­‌کنند.

این‌گونه حملات به‌گونه‌ای هستند که مجرمان سایبری از طریق تزریق کد مخرب به داخل اسناد، بدافزار را تحویل داده، و کاربر را فریب می‌­دهند تا آن را بازکرده و بدافزارهای ماکرو­ (Macro)  را درون بسته‌‌ نرم‌افزاری مایکروسافت آفیس 2017 فعال کند.­

(Macro:‌بدافزارهای ماکرو به‌وسیله‌‌ یک ضمیمه‌‌ هرزنامه به رایانه راه پیدا می‌کنند، به‌ نحوی‌که کاربر فریب حقه‌های مبتنی بر مهندسی اجتماعی را خورده و ماکروی موجود در سند را فعال می‌کند. به‌این‌ترتیب ماکرو پای‌لودهای دیگری را بارگیری نموده و رایانه‌‌ قربانی مورد نفوذ قرار می‌گیرد.)

“کلاهبرداری خاموش (word silent exploit)” یکی دیگر از ابزارهای مخرب‌ است که از آسیب‌پذیری حاصل از اجرای دو قطعه کد از راه دور(remote code execution) (RCE)‌، موجود در مایکروسافت‌: CVE-2017-8759 و‌ CVE-2017-11882 بهره می‌برد. هکرها نیز این نقاط آسیب­‌پذیری را نشانه گرفتند که به آن‌ها اجازه می‌داد تا سیستم مورد بهره‌­برداری را از طریق یک فایل متنی (Word) مخرب، کنترل نمایند.

در اینجا مشاهده می‌­کنید که صفحه‌‌ رابط این ابزار به چه شکل است:

exploit-kits

در اصل، پای لودهای (payloads) بیشتری می‌توانند ساخته شوند، که این پای‌لودها در اصل، عناصر مهم بدافزاری هستند که عمل تخریب را انجام می‌­دهند. پای‌لودها آنچه را  که برایش برنامه‌ریزی‌ شده‌اند انجام می‌دهند: داده‌­های مالی کاربران را جمع­‌آوری کرده و داده‌­ی حساس آن‌ها را رمزگذاری می­‌نمایند.

(بیشتر کرم‌هایی (worm)  که ساخته می‌شوند فقط قصد پخش شدن دارند و تلاشی برای تغییر دستگاه‌هایی که از آن‌ها عبور می‌کنند ندارند، اگرچه ترافیک شبکه و اثرات ناخواسته گاهی باعث شکست آن‌ها می‌شوند. یک  پای‌لود، ‌کدی طراحی‌شده است جهت انجام چیزی بیشتر از منتشر شدن یک کرم، مثلاً ممکن است فایل‌های سیستم  میزبان را پاک کند، با حمله به یک سازمان سری، فایل‌ها را پنهان کند یا از طریق e-mail اسنادی را بفرستد.یکی از ساده‌ترین  پای‌لودها نصب یک در پشتی ‌(backdoor)‌ است که بعد از سرایت به کامپیوتری یک  zombie”  zombie اصطلاحاً به کامپیوتری گفته می‌شود که در یک شبکه تحت تسلط هکر یا یک کرم قرار می‌گیرد” می‌سازد.)

 

جدیدترین ورژن پای‌لود، ورژن 4.4 است و برای یک سرور C&C (پاک‌سازی‌شده برای حفظ امنیت شما)‌ روی elmod [.] Zapto.org قرار داده‌شده است ‌که این ابزار هم به‌احتمال‌زیاد برای اهداف خراب‌کارانه ثبت‌شده است.

این ابزارها از طریق وب‌سایت (پاک‌سازی‌شده برای حفظ امنیت شما) / http: //www.elm0d [.] Tk / انتشاریافته و به فروش می­‌رسند.

با یک جستجوی سریع در گوگل “Word Silent‌ Exploit Builder” ورژن‌های مخرب بیشتری از این ابزار آشکار خواهد‌شد.

علاوه‌بر‌‌این ابزار (Silent Word Exploit) ، برنامه‌­های مخرب دیگری هم‌چون برنامه‌ی تروجان دسترسی از راه دور (RAT(Remote Access Trojan به نام “‌آی‌اسپای (eyespy)” و “Backconnect RAT” وجود دارند که هدفشان تحویل پای‌لودهای مخرب و تزریق بدافزار به درون فایل اسناد آفیس است.­

(نرم‌افزار آی‌اسپای eyeSpy با در اختیار گرفتن وب کم می‌تواند حرکات را شناسایی‌، ثبت و ضبط کند و با در اختیار گرفتن میکروفون صداهای موجود را نیز ضبط کند‌. با استفاده از آی‌سپای شما قادر خواهید بود صدا و یا تصویر تشخیص داده‌شده را به اشتراک بگذارید‌، اتصال چند کامپیوتر را در وب مدیریت کنید‌، هنگام ثبت حرکت یا صدا، ایمیل و یا اس‌ام‌اس دریافت نمایید‌، مطمئناً بعضی از افراد می‌خواهند بفهمند در زمان غیبت آن‌ها چه کسی از کامپیوتر استفاده می‌کند که به کمک این برنامه می‌توان به‌راحتی این کار را انجام داد‌. نرم‌افزار آی‌سپای به‌گونه‌ای طراحی‌شده که نسبت به صوت یا تصویر حساس می‌باشد و بلافاصله اقدام به ضبط صدا و تصویر می‌کند. ‌توسط این نرم‌افزار می‌توانید تعیین کنید که در ساعت‌های معینی در حالت آماده‌باش قرار داشته باشد و اقدام به فیلم‌برداری و ضبط صدا کند.)

طبق virus Total نرخ شناسایی ویروس برای برنامه‌­ ‌”Word Silent Exploit Builder” در موتورهای آنتی‌ویروس (AV)، بسیار پایین بوده، به‌طوری‌که تنها پنج موتور از 68 موتور محصولات AV این فایل مخرب را شناسایی کرده­‌اند.

تهاجمات هرزنامه‌ای (Spam) دیگری که هدف آن مایکروسافت آفیس است، از طریق هانسیتور(Hancitor) منتشر شد، این اسپم،‌ نوعی بدافزار است که مجرمان سایبری با استفاده از آن کاربران را متقاعد به کلیک کردن روی یک لینک مخرب می‌نمایند.­

این لینک همراه با یک سند مخصوص و به همراه کد ماکروی تعبیه‌شده در آن، وقتی‌که باز شود، یک کد (VBA(Visual Basic for Applications را فعال می‌­کند. در این مورد، هدف اصلی حمله، سند آلوده‌­ای است که به‌منظور تولید دانلودهای بسیاری از انواع مختلف داده، تنظیم‌شده است.

ایمیل به‌صورت زیر نمایش داده می‌­شود:

From: [Spoof / Forwarded Sender Address] / Subject line: New incoming fax from [phone number] / Content (sanitized for your protection):

http: // agelessshow [.] com? [ obfuscated email address of the recipient] http: // iaasavesthearts [.] com? [obfuscated email address of the recipient] http: // iaaaward [.] com? [obfuscated email address of the recipient]

If users try to click on any of the links above, the following document (eFax_ [6 random digits] .doc) is generated. Hancitor will be downloaded from the following URLs (sanitized for your protection)

http: // aboutthebike [.] co [.] uk / wp-content / plugins / all-in-one-seo-pack / 1
http: // aboutthebike [.] co [.] uk / wp-content / plugins / all-in-one-seo-pack / 2
http: // aboutthebike [.] co [.] uk / wp-content / plugins / all-in-one-seo-pack / 3
http: // beyondthebag [.] feed projects [.] com / wp-content / plugins / featured-image-widget / 1
http: // beyondthebag [.] feed projects [.] com / wp-content / plugins / featured-image-widget / 2
http: // beyondthebag [.] feed projects [.] com / wp-content / plugins / featured-image-widget / 3
http: // model hover [.] org / 1
http: // model hover [.] org / 2
http: // model hover [.] org / 3

بنابر VirusTotal ، از 60 موتور طراحی‌شده 35 موتور آنتی‌ویروس، این حمله‌­ اسپم را شناسایی کرده‌اند.­

 

چگونه خود را از کیت­‌های بهره‌برداری در امان نگه‌دارید؟

کیت‌­های بهره‌برداری می­‌توانند امکاناتی برای عاملان تخریب ایجاد کنند، تا از راه دور سیستم مورد بهره‌­برداری یا نرم‌­افزار را کنترل کرده و به مهاجمان اجازه می‌­دهد تا بستری برای فعالیت‌­های خرابکارانه‌­ مختلف ایجاد نمایند.

بدترین قسمت این است که آن‌ها اغلب با آنتی‌ویروس­های معمولی، ناشناخته باقی می­‌مانند و شما به سطح حفاظتی دیگری برای مقابله‌­ی مؤثر­تر با آن‌ها نیاز دارید.­

  1. ازآنجاکه کیت­‌های بهره­‌برداری اغلب روی نرم‌افزارهای آپدیت نشده یا نرم‌افزارهای آسیب‌­پذیر تکیه‌دارند، اولین چیزی که به‌شدت آن را توصیه می‌­کنیم این است که نرم‌افزار خود را همیشه به‌روز نگه‌دارید. مطمئن شوید که آخرین آپدیت­‌ها را نصب‌کرده‌اید، این نصب می‌تواند به‌صورت دستی باشد. همه‌چیز را اصلاح کنید.
  2. ازآنجاکه کیت‌­های بهره‌برداری به‌راحتی از زیردست آنتی‌ویروس­‌ها در می‌روند، لازم دارید تا لایه‌ امنیتی دیگری روی نرم‌افزارهای آنتی­‌ویروس خود اضافه کنید تا به حداکثر امنیت دست‌یابید، ازجمله می­‌توانید از یک نرم‌افزار امنیت سایبری پیشگیرانه استفاده کنید.
  3. همواره از داده‌­های ضروری خود دو پشتیبان(Backup) بر روی منابع خارجی داشته باشید، منابعی هم‌چون یک دیسک‌سخت یا جایی واقع در فضای ابری: Google Drive، Dropbox، و غیره.
  4. ایمیل‌ها (پیام­‌ها) را باز یا دانلود نکنید و بر روی لینک­‌های مشکوکی که از منابع ناشناخته دریافت می‌­کنید کلیک نکنید، که این کار می‌­تواند به سیستم شما آسیب برساند.­
  5. آموزش ببینید و اطلاعاتی درزمینه‌ تهدید­های پیش رو به دست بیاورید، از این طریق می‌توانید یاد بگیرید که چگونه حملات سایبری را شناسایی کنید.

یک‌بار دیگر، تأکید بر اهمیت پیشگیری می­‌کنیم و لازم می‌دانیم تا تمام اقدامات امنیتی لازم را برای حفاظت از داده‌­های آسیب­‌پذیر به دست آورید..

خروج از نسخه موبایل