Skip to Content

نمایشگر دسته ای مطالب نمایشگر دسته ای مطالب

بازگشت به صفحه کامل

آفیس، تروجان را بدون نیاز به Macro ها اجرا می کند.

نویسندگان بدافزار لزوما نیاز به فریب کاربران برای فعال کردن ماکروها برای اجرای کدمخرب ندارند. یک تکنیک جایگزین وجود دارد که یکی از مزایای دیگر ویژگی های دفاتر قانونی است. این ویژگی به نام تبادل اطلاعات دینامیکی مایکروسافت (DDE) نامیده می شود و اجازه می دهد که یک برنامه آفیس، دیتاهایی را از اپلیکیشن آفیس دیگر بارگذاری کند. به عنوان مثال ، یک فایل ورد می تواند یک جدول که به وسیله کشیدن دیتا از یک فایل اکسل را برای هرباری که فایل ورد باز می شود؛ آپدیت کند.DDE یک ویژگی قدیمی است ولی DDE هنوز هم توسط برنامه های office پشتیبانی می شود و به کاربران این امکان را می دهد که دستورالعمل های  ساده ای را با کشیدن داده ها و اطلاعاتی که به سند جدید تزریق می کنند؛ وارد کنند. مشکل این است که نویسندگان بدافزار می توانند فایل های ورد مخرب را با حوزه های DDE ایجاد کنند که به جای بازکردن یک برنامه آفیس دیگر، خط فرمان راباز کرده و کدمخرب را اجرا کنند. در شرایط عادی، برنامه های آفیس، دو اخطار را نشان می دهند.

 

 اولین هشدار در مورد سند حاوی لینک به سایر فایل هاست. درحالی که خطای دوم در مورد بازکردن یک خط فرمان از راه دور است. به گفته دو محقق امنیتی از Sense Post، پنجره دوم را می توان غیرفعال کرد تا هشدار ،فقط برای بار اول نشان داده می شود. این عامل به شدت قابلیت استفاده از DDEرا افزایش می دهد.

مایکروسافت : این یک آسیب پذیری نیست.

Sense Post در اوایل سال جاری با مایکروسافت ارتباط برقرار کرد؛ اما این شرکت آسیب پذیری را در نظر نگرفت. دلیل اینکه مایکروسافت حملات DDEرا به عنوان مسئله امنیتی نمی داند این است که آفیس قبل از بازکردن فایل ها، هشدار را نشان می دهد. این تنها مورد دیگری است که در آن نویسندگان بدافزار، یک راه خلاقانه برای سوء استفاده از یک ویژگی مشروع، مانند OLE و ماکرو  پیدا کرده اند که مایکروسافت هم چنین به کاربران قبل از اجرا هشدار می دهد. کارشناسان امنیتی مانند دکتر Vesselin Bontchen با تصمیم مایکروسافت در خصوص دسته بندی حمله DDEموافقت می کنند.

حملات DDE، مورد استفاده در گروه FIN7

این نوع حملات از اوایل دهه90 میلادی آغاز شد. زمانی که DDE معرفی شد؛ ولی اخیرا در مارس 2017، هنگامی که یک تحقیق امنیتی بانام PwnDizz منتشر شد؛ یک گزارش در مورد راه هایی که نویسندگان بدافزار می توانستند از اسناد آفیس برای بارگذاری های پرداختی برسند؛ وجود داشت.این گزارش شامل ماکروها، اجزای OLE، اجزای Active X، اقدامات پاورپوینت  DDEاست. David Longenecken یک آموزش در مورد نحوه شناسایی حملات گذشته ی DDEرا از طریق Logs Event  منتشر کرد. David Stevens مجموعه ای از قوانین YARAرا منتشر کرد که شکارچیان بدافزار می توانند از شناسایی اسناد آفیس با استفاده از حملات DDEاستفاده کنند. درحال حاضر، اکثر فروشندگان آنتی ویروس، آفیس را با حوزه های DDEبه عنوان مشکوک یا مخرب تشخیص نمی دهند.

Kevin Beaumontتکنیک هایی را که حملات زنده توسطFIN7 مورد استفاده قرار گرفت را کشف کرد. گروهی از هکرها که در برخورد با سازمان های مالی متخصص بودند. Cisco Tabs تجزیه و تحلیل دقیق تر از این حملات انجام شده توسط همان گروه که قبلا توسعه دهنده نرم افزارهای DNS Messenger بودند؛ منتشر نمود. در حال حاضر کابران باید مراقب بازکردن فایل های آفیس با لینک های DDE در صورتی که اسناد را از طریق ایمیل از افراد ناشناس دریافت می کنند؛ باشند.

اگر آن ها فایل را از یک فرستنده شناخته شده دریافت کرده باشند؛ چون ایمیل های جعلی بسیار شایع هستند؛ کاربران باید دوباره فرستنده را چک کرده و مطمئن شوند که آن ها واقعا فایل را ارسال نموده اند.