سوءاستفاده هکرها از فایل های آلوده آفیس برای اجرای حملات باج‌افزاری

مجرمان سایبری معمولاً با اجرای حملات باج‌افزاری و سوءاستفاده از آسیب‌پذیری‌ها یا فایل های آلوده نرم‌افزارهای آفیس، به شبکه‌ها و اطلاعات کاربران دسترسی پیدا می‌کنند.

شرکت امنیتی مک‌آفی به تازگی یک مطالعه تحقیقاتی بر روی باج‌افزار Cuba انجام داده است. بر اساس نتایج تحقیقات صورت گرفته، هکرها با استفاده از این باج‌افزار اطلاعات قربانی را به سرقت برده و سپس اقدام به رمزنگاری فایل های موجود بر روی سیستم کاربر می‌کردند. آنها قربانیان را در صورت عدم پرداخت باج، تهدید به انتشار و افشای این اطلاعات می‌نمودند.

مهاجمان پس از دسترسی به شبکه، باج‌افزار خود را فعال می کردند. آنها همچنین از دستورات پاورشل[1] (PowerShell) برای نفوذ بیشتر در شبکه و بررسی جزئیات آن استفاده می‌نمودند. در این حمله، پاورشل از پوشه SysWOW64 و با استفاده از فرمان Powershell-windowstyle hidden فراخوانی می‌شد و به این ترتیب امکان مخفی کردن آن از دید کاربر وجود داشت. سپس مهاجمان جهت دسترسی به سایر بخش‌ها دسترسی‌های سیستم و ارتباطات آن را بررسی می‌کردند. آنها همچنین برای افزایش سطح دسترسی خود از پردازش SeDebugPrivilege استفاده می‌نمودند. در این حمله، تعدادی از سرویس‌ها از جمله سرویس‌های مرتبط با پردازش‌های SQL، ایمیل و سایر پردازش‌های ارتباطی غیرفعال می‌شدند.

سطوح دسترسی مورد علاقه مهاجمان

تعدادی از امتیازهای دسترسی ویندوز که معمولاً مهاجمان از آنها سوءاستفاده می‌کنند، شامل موارد زیر هستند:

• SeCreateTokenPrivilege: به سرویس یا حساب کاربری امکان ایجاد توکن‌های اولیه را می‌دهد. از این پارامتر می‌توان برای افزایش سطح دسترسی هم استفاده کرد.
• SeBackupPrivilege: امکان خواندن هر فایلی را به سیستم می‌دهد. مهاجمان از این قابلیت برای جمع‌آوری اطلاعات درباره شبکه استفاده می‌نمایند.
• SeDebugPrivilege: برای عیب‌یابی و تنظیم حافظه پردازش‌های متعلق به حساب کاربری فرد دیگر مورد استفاده قرار می‌گیرد. مجرمان سایبری از آن برای جلوگیری از امکان شناسایی شدن و دسترسی به اعتبارنامه‌ها (نام کاربری و کلمه عبور) استفاده می‌کنند.
• SeLoadDriverPrivilege: برای بارگذاری و همچنین لغو بارگذاری درایور دستگاه‌ها مورد استفاده قرار می‌گیرد. هکرها برای مقابله با سازوکارهای دفاعی از آن استفاده می‌کنند.
• SeRestorePrivilege: برای اجرای عملیات بازیابی مورد استفاده قرار گرفته و باعث می‌شود که مهاجم، مجوزهای دسترسی لازم برای نوشتن در هر فایلی را به دست آورد. مهاجمان با استفاده از این پارامتر می‌توانند به صورت دائم در شبکه حضور داشته باشند.
• SeTakeOwnershipPrivilege: برای مالکیت اشیا از این پارامتر استفاده می شود. مجرمان سایبری از آن برای حضور دائم، جلوگیری از شناسایی و جمع‌آوری اطلاعات درباره شبکه استفاده می‌کنند.
• دارنده دسترسی SeTcbPrivilege یک کاربر قابل اعتماد محسوب می‌شود و هکرها از آن برای افزایش سطح دسترسی استفاده می‌کنند.
• از ScDebugPrivilege هم توسط نرم‌افزارهایی مثل آنتی ویروس‌ها و هم توسط مهاجمان استفاده می‌شود.

در وبلاگ Palantir توصیه شده همواره دسترسی‌های تخصیص یافته به کاربران جهت ورود به سیستم ها و سامانه ها بررسی شده تا امکان شناسایی توکن‌های دسترسی که توسط مهاجمان تولید شده‌اند، وجود داشته باشد. بهترین راه تشخیص سوءاستفاده، شناخت کامل شبکه و تنظیم هشدار برای تشخیص رویدادهای غیرعادی است.

فایل‌های آلوده نرم‌افزارهای آفیس؛ از جمله روش‌های پرکاربرد برای اجرای حملات سایبری

متأسفانه شرکت مک‌آفی روش اصلی مورد استفاده برای اجرای حملات باج‌افزار Cuba را شناسایی نکرده است. بر اساس تحقیقات صورت گرفته معمولاً این باج‌افزار از طریق فایل‌های آلوده نرم‌افزارهای آفیس مایکروسافت منتشر می‌شود. در مطلبی در سایت Netskope به این نکته اشاره شده که مهاجمان از فایل‌های آلوده نرم‌افزارهای آفیس برای دانلود و اجرای پی‌لودهای مخرب استفاده می‌کنند. این فایل‌های مخرب به‌ گونه‌ای طراحی شده بودند که چنان به نظر برسد توسط سرویس امضای الکترونیک [2]Docusign ارسال شده‌اند. در این حمله از ماکروهای مخصوص اکسل که در این فایل‌های صفحه گسترده مخفی شده بودند، استفاده شده بود.

فایل‌های اکسل، حدود 60 درصد از فایل‌های آفیس مورد استفاده در حملات باج‌افزاری را به خود اختصاص می‌دهند. فایل‌های ورد در جایگاه دوم و پاورپوینت نیز در جایگاه سوم قرار دارند. بر اساس گزارش‌های منتشر شده در Netskope: «حجم فایل‌های مخرب آفیس حدود 50 درصد افزایش یافته و میزان سوءاستفاده مهاجمان از این فایل‌ها به عنوان تروجان برای انتشار پی‌لودهای مرحله بعدی حمله، از جمله درهای پشتی و باج‌افزار رو به افزایش است. همچنین حدود 25 درصد از حملات سایبری از طریق سوءاستفاده از فایل‌های مخرب نرم‌افزارهای آفیس صورت می گیرند که معمولاً از طریق بستر ابری منتشر شده تا بتوانند راهکارهای متداول دفاعی تحت وب و ایمیل را دور بزنند».

چگونه با فایل‌های مخرب نرم‌افزارهای آفیس مقابله کنیم؟

برای مقابله با این فایل‌های آلوده ابتدا باید دسترسی به ماکروها را محدود کنید. شما باید مشخص نمایید چه اشخاصی واقعاً به ماکروهای اکسل و ورد نیاز دارند. یک سیاست گروهی[3] (Group Policy) تعریف نموده و در تنظیمات آن ماکروها را برای کاربرانی که به آنها نیاز ندارند، غیرفعال نمایید. سپس این کاربران را در گروه‌ها یا واحدهای سازمانی مشترک قرار دهید.

برای انجام این کار می بایست به نکات زیر توجه کنید:

• فایل [4]ADMX مناسب را از سایت مایکروسافت دانلود کنید.
• کنسول مدیریت سیاست‌های گروهی را باز کرده و روی شیء سیاست گروهی مورد نظر، راست کلیک کنید.
• گزینه Edit را انتخاب نمایید.
• در ویرایشگر مدیریت سیاست گروهی، به بخش User configuration بروید.
• گزینه Administrative templates را انتخاب نمایید.
• گزینه Microsoft Word 2016 (یا هر نسخه‌ای که نصب کرده‌اید) را انتخاب کنید.
• گزینه Word options را انتخاب نمایید.
• گزینه Security را انتخاب کنید.
• گزینه Trust Center را انتخاب نمایید.
• تنظیمات Block macros from running in Office files from the Internet را انتخاب و فعال کنید.

همچنین شما باید مطمئن شوید کاربرانی که به اجرای ماکروها نیاز دارند، فقط ماکروهای امضا شده را باز می کنند. برای فعال نمودن سازوکار حفاظت از برنامه‌های کاربردی آفیس 365 می‌توانید مجوز Microsoft 365 E5 را تهیه کنید. برای انجام این کار باید در Office Current Channel و Monthly Enterprise Channel بوده یا از نسخه 2011، شماره 16.0.13530.10000 استفاده کنید.

به منظور فعال‌سازی این سازوکار مراحل زیر را دنبال کنید:

• گزینه “Microsoft Defender Application Guard” را از قسمت Windows Features انتخاب نموده و بر روی دکمه OK کلیک کنید. سپس از شما درخواست می‌شود برای فعال نمودن این قابلیت به صورت کامل، سیستم را دوباره راه اندازی (ریبوت) کنید.
• در حالت Managed، سیاست گروهی Microsoft Defender Application Guard را که در مسیر زیر قرار دارد، جستجو کنید:

Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard

• سیاست دوم “Enable Microsoft Defender Application Guard for isolated Windows “nvironments only یا سوم “Enable Microsoft Defender Application Guard for Microsoft “dge and isolated Windows environments را فعال کنید. همچنین باید سخت‌افزاری که قابلیت پشتیبانی از مجازی‌سازی را دارد هم داشته باشید. در رایانه‌ای قدیمی ممکن است انجام این کار نیازمند فعال‌سازی از طریق بایوس باشد.

پس از انجام این تنظیمات، در صورت باز کردن اسناد غیرمطمئن آفیس مثل فایل‌هایی که حاوی ماکروهای امضا نشده دریافتی از اینترنت هستند دیگر این پیام را مشاهده خواهید کرد:

“To keep you safe, we’re opening this document in Application Guard”

نمایش این پیام به معنای آن است که برای حفظ امنیت شما، این فایل در محیط Application Guard باز می‌شود.

[1] یک چارچوب برای انجام دستورات خودکار می‌باشد که توسط مایکروسافت ایجاد شده است.

[2] یکی از قوی‌ترین و ‌محبوب‌ترین نرم‌افزارهای امضای الکترونیکی رایگان است.

[3] از طریق سیاست گروهی می‌توانید یک سری تنظیمات امنیتی و کاربری را در سیستم‌تان انجام دهید.

[4] فایلی با فرمت ADMX، یک فایل متنی مبتنی بر پروتکل سیاست نامه Windows/Office است که به عنوان جایگزینی برای فایل های ADM قدیمی‌ محسوب می شود.