سوءاستفاده هکرها از فایل های آلوده آفیس برای اجرای حملات باج‌افزاری

مجرمان سایبری معمولاً با اجرای حملات باج‌افزاری و سوءاستفاده از آسیب‌پذیری‌ها یا فایل های آلوده نرم‌افزارهای آفیس، به شبکه‌ها و اطلاعات کاربران دسترسی پیدا می‌کنند.

شرکت امنیتی مک‌آفی به تازگی یک مطالعه تحقیقاتی بر روی باج‌افزار Cuba انجام داده است. بر اساس نتایج تحقیقات صورت گرفته، هکرها با استفاده از این باج‌افزار اطلاعات قربانی را به سرقت برده و سپس اقدام به رمزنگاری فایل های موجود بر روی سیستم کاربر می‌کردند. آنها قربانیان را در صورت عدم پرداخت باج، تهدید به انتشار و افشای این اطلاعات می‌نمودند.

مهاجمان پس از دسترسی به شبکه، باج‌افزار خود را فعال می کردند. آنها همچنین از دستورات پاورشل[1] (PowerShell) برای نفوذ بیشتر در شبکه و بررسی جزئیات آن استفاده می‌نمودند. در این حمله، پاورشل از پوشه SysWOW64 و با استفاده از فرمان Powershell-windowstyle hidden فراخوانی می‌شد و به این ترتیب امکان مخفی کردن آن از دید کاربر وجود داشت. سپس مهاجمان جهت دسترسی به سایر بخش‌ها دسترسی‌های سیستم و ارتباطات آن را بررسی می‌کردند. آنها همچنین برای افزایش سطح دسترسی خود از پردازش SeDebugPrivilege استفاده می‌نمودند. در این حمله، تعدادی از سرویس‌ها از جمله سرویس‌های مرتبط با پردازش‌های SQL، ایمیل و سایر پردازش‌های ارتباطی غیرفعال می‌شدند.

 

سطوح دسترسی مورد علاقه مهاجمان

تعدادی از امتیازهای دسترسی ویندوز که معمولاً مهاجمان از آنها سوءاستفاده می‌کنند، شامل موارد زیر هستند:

در وبلاگ Palantir توصیه شده همواره دسترسی‌های تخصیص یافته به کاربران جهت ورود به سیستم ها و سامانه ها بررسی شده تا امکان شناسایی توکن‌های دسترسی که توسط مهاجمان تولید شده‌اند، وجود داشته باشد. بهترین راه تشخیص سوءاستفاده، شناخت کامل شبکه و تنظیم هشدار برای تشخیص رویدادهای غیرعادی است.

 

فایل‌های آلوده نرم‌افزارهای آفیس؛ از جمله روش‌های پرکاربرد برای اجرای حملات سایبری

متأسفانه شرکت مک‌آفی روش اصلی مورد استفاده برای اجرای حملات باج‌افزار Cuba را شناسایی نکرده است. بر اساس تحقیقات صورت گرفته معمولاً این باج‌افزار از طریق فایل‌های آلوده نرم‌افزارهای آفیس مایکروسافت منتشر می‌شود. در مطلبی در سایت Netskope به این نکته اشاره شده که مهاجمان از فایل‌های آلوده نرم‌افزارهای آفیس برای دانلود و اجرای پی‌لودهای مخرب استفاده می‌کنند. این فایل‌های مخرب به‌ گونه‌ای طراحی شده بودند که چنان به نظر برسد توسط سرویس امضای الکترونیک [2]Docusign ارسال شده‌اند. در این حمله از ماکروهای مخصوص اکسل که در این فایل‌های صفحه گسترده مخفی شده بودند، استفاده شده بود.

فایل‌های اکسل، حدود 60 درصد از فایل‌های آفیس مورد استفاده در حملات باج‌افزاری را به خود اختصاص می‌دهند. فایل‌های ورد در جایگاه دوم و پاورپوینت نیز در جایگاه سوم قرار دارند. بر اساس گزارش‌های منتشر شده در Netskope: «حجم فایل‌های مخرب آفیس حدود 50 درصد افزایش یافته و میزان سوءاستفاده مهاجمان از این فایل‌ها به عنوان تروجان برای انتشار پی‌لودهای مرحله بعدی حمله، از جمله درهای پشتی و باج‌افزار رو به افزایش است. همچنین حدود 25 درصد از حملات سایبری از طریق سوءاستفاده از فایل‌های مخرب نرم‌افزارهای آفیس صورت می گیرند که معمولاً از طریق بستر ابری منتشر شده تا بتوانند راهکارهای متداول دفاعی تحت وب و ایمیل را دور بزنند».

 

چگونه با فایل‌های مخرب نرم‌افزارهای آفیس مقابله کنیم؟

برای مقابله با این فایل‌های آلوده ابتدا باید دسترسی به ماکروها را محدود کنید. شما باید مشخص نمایید چه اشخاصی واقعاً به ماکروهای اکسل و ورد نیاز دارند. یک سیاست گروهی[3] (Group Policy) تعریف نموده و در تنظیمات آن ماکروها را برای کاربرانی که به آنها نیاز ندارند، غیرفعال نمایید. سپس این کاربران را در گروه‌ها یا واحدهای سازمانی مشترک قرار دهید.

برای انجام این کار می بایست به نکات زیر توجه کنید:

همچنین شما باید مطمئن شوید کاربرانی که به اجرای ماکروها نیاز دارند، فقط ماکروهای امضا شده را باز می کنند. برای فعال نمودن سازوکار حفاظت از برنامه‌های کاربردی آفیس 365 می‌توانید مجوز Microsoft 365 E5 را تهیه کنید. برای انجام این کار باید در Office Current Channel و Monthly Enterprise Channel بوده یا از نسخه 2011، شماره 16.0.13530.10000 استفاده کنید.

به منظور فعال‌سازی این سازوکار مراحل زیر را دنبال کنید:

Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard

پس از انجام این تنظیمات، در صورت باز کردن اسناد غیرمطمئن آفیس مثل فایل‌هایی که حاوی ماکروهای امضا نشده دریافتی از اینترنت هستند دیگر این پیام را مشاهده خواهید کرد:

“To keep you safe, we’re opening this document in Application Guard”

نمایش این پیام به معنای آن است که برای حفظ امنیت شما، این فایل در محیط Application Guard باز می‌شود.

 

[1] یک چارچوب برای انجام دستورات خودکار می‌باشد که توسط مایکروسافت ایجاد شده است.

[2] یکی از قوی‌ترین و ‌محبوب‌ترین نرم‌افزارهای امضای الکترونیکی رایگان است.

[3] از طریق سیاست گروهی می‌توانید یک سری تنظیمات امنیتی و کاربری را در سیستم‌تان انجام دهید.

[4] فایلی با فرمت ADMX، یک فایل متنی مبتنی بر پروتکل سیاست نامه Windows/Office است که به عنوان جایگزینی برای فایل های ADM قدیمی‌ محسوب می شود.

خروج از نسخه موبایل