در این سری از حملات فایل آلوده ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx همراه با آسیبپذیری شناسایی شده پاورپوینت به شماره CVE-2017-0199 استفاده شده است. مایکروسافت آسیبپذیری فوق را در ماه آوریل ترمیم کرد، اما این دومین باری است که هکرها از آسیبپذیری فوق بهرهبرداری کردهاند. تقریبا یک ماه پیش بود که هکرها موفق شدند بدافزارهای Dridex، WingBrid، Latentbot و Godzilla را بر اساس آسیبپذیری فوق توزیع کنند.
آسیبپذیری فوق به هکرها اجازه میداد به راحتی سامانههای کامپیوتری کاربران را آلوده کنند. در آن حمله زمانی که قربانی یک فایل پاورپوینت را در وضعیت نمایش اسلاید باز میکرد همزمان با این کار یک اسکریپت روی سامانه او اجرا میشد.
این اسکریپت به منظور دانلود از راه دور کدهای مخرب از درون یک فایل XML مورد استفاده قرار میگرفت. کدهایی که از سایت narrowbabwe.net دانلود میشدند. پس از انجام اینکار زمانی که کاربر وضعیت نمایش اسلاید را در پاورپوینت اجرا میکرد، کدهای مخرب نیز اجرا میشدند.
اکسپلویت فوق به هکرها اجازه میدهد به رجیستری ویندوز نفوذ کرده و به راحتی از سد ویژگی کنترل حساب کاربری عبور کرده و فایل eventvwr.exe را اجرا کنند. در حالی که آسیبپذیری گذر از مکانیزم امنیتی سال گذشته میلادی شناسایی شد اما هکرها هنوز هم میتوانند از آن استفاده کنند. کدهای جاوااسکریپتی که درون فایل XML قرار دارند، این توانایی را دارند تا فایلی را به پوشه آفیس وارد کرده و به بسته آفیس نشان دهند فای لفوق وصلهای ارائه شده از سوی مایکروسافت هستند.
جالبتر آنکه اسکریپت فوق به اندازهای هوشمند است که میتواند تشخیص دهد درون یک ماشین مجازی یا روی یک ماشین واقعی اجرا شده است.
اگر تشخیص دهد که درون یک ماشین مجازی اجرا نشده است، در ادامه دادههایی را برای سرور راه دور ارسال میکند. دستوراتی که از سوی سرور برای بدافزار ارسال میشوند برای انجام کارهای مختلفی مورد استفاده قرار میگیرند. دستوراتی که همگی آنها از طریق تابع eval() اجرا میشوند. زمانی که دستورات با موفقیت اجرا شوند بدافزار پیغام موفقیتآمیز بودن را برای سرور ارسال میکند. اوایل ماه جاری میلادی نیز پژوهشگران امنیتی شرکت سیسکو اعلام داشتند هکرها از طریق بهرهبرداریهای موجود در بسته آفیس به منظور گذر از مکانیزمهای امنیتی و همچنین افزایش نرخ تحویل بدافزارها استفاده میکنند.
این گروه از کارشناسان موفق به شناسایی کدهایی درون بدافزارها شدند که نشان میداد بدافزارها از راهکارهای جدیدی برای گذر از مکانیزمهای تشخیصی و همچنین ارتقا امتیازهای خود استفاده کردهاند. در حال حاضر هکرها از راهکارهای اسکریپتهای چندگانه جایگذاری شده در کدها، اتصال چندگانه به آدرسهای اینترنتی، جایگذاری آدرسهای اینترنتی مربوط به سرورهای کنترل و فرماندهی درون فایلهای Jpeg استفاده میکنند.
===============================
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟