کمیته رکن چهارم – از آنجا که شکلهای جدیدی از جرایم سایبری در حال افزایش هستند، به نظر میرسد فناوریهای سنتی بیشتر به سمت مخفی شدن پیش میروند و از پروتکلها و ابزارهای استاندارد سامانهها که همیشه تحت نظارت نیستند، بهرهبرداری میکنند.
محققان امنیتی در گروه تحقیقاتی سیسکو تالوس یک پویش حمله را کشف کردند که اسناد ورد مایکروسافت حاوی بدافزاری را توزیع میکنند که بدون نیاز به خرابی حافظه یا فعالسازی ماکروها کدها را روی دستگاه هدف اجرا میکنند.
روز دوشنبه محققان امنیتی Sensepost دربارهی جزئیات این پویش گفتند، این اجرای کد بدون نیاز به ماکروها در فناوری مایکروسافت ورد، از یک ویژگی موجود در مایکروسافت آفیس بهنام تبادل دادهی پویا برای اجرای کد استفاده میکند. پروتکل تبادل دادهی پویا، یکی از چندین روشی است که مایکروسافت به دو برنامهی در حال اجرا اجازه میدهد تا دادههای یکسان را به اشتراک بگذارند. این پروتکل میتواند توسط برنامهها برای انتقال بهموقع دادهها و تبادلات مداوم در برنامههایی که بهروزرسانیها را به عنوان دادهی جدید به یک برنامهی دیگر ارسال میکنند، در دسترس قرار بگیرد. هزاران برنامه از جمله اکسل مایکروسافت، مایکروسافت ورد، Quattro Pro و ویژوآل بیسیک از پروتکل تبادل دادهی پویا استفاده میکنند.
این روش بهرهبرداری که محققان توصیف کردند هشدار «امنیتی» به قربانیان نشان نمیدهد به جز اینکه از آنها میخواهد اگر تمایل دارند برنامههای مشخصشده در دستور را اجرا کنند، به هرحال این هشدار ظاهرشده، همچنین میتواند توسط اصلاح نحو مناسب حذف شود. این دانشمندان همچنین یک ویدئو اثبات مفهومی ارائه کردند که این روش بهرهبرداری را نشان میدهد.
حملهی تبادل دادهی پویا در مایکروسافت ورد در سراسر جهان بهطور فعال مورد بهرهبرداری قرار میگیرد
همانطور که توسط محققان سیسکو توصیف شد، این فناوری بهطور فعال توسط نفوذگران مورد بهرهبرداری قرار میگیرد تا سازمانهای مختلف را با استفاده از رایانامههای فیشینگ که به نظر میرسد از طرف کمیسیون بورس و اوراق بهادار آمریکا فرستاده شدهاند، هدف قرار دهند و کاربران را برای باز کردن این رایانامهها متقاعد کنند. در یک پست وبلاگی که توسط محققان تالوس منتشر شده آمده است: «خود رایانامهها حاوی یک ضمیمهی مخرب مایکروسافت ورد هستند که وقتی باز میشوند یک فرآیند گسترش آلودگی چندمرحلهای پیشرفته که آلودگی توسط بدافزار DNSMessenger پخش میشود، را آغاز میکنند.»
در اوایل ماه مارس محققان تالوس مهاجمانی را کشف کردند که بدافزار DNSMessenger را توزیع میکردند، این بدافزار کاملا یک تروجان دسترسی از راه دور (RAT) بدون پرونده است که از پرسوجوهای DNS برای اجرای دستورات پاورشل مخرب روی رایانههای در خطر استفاده میکند. پس از باز شدن پرونده، قربانیان با پیامی مواجه میشوند که به آنها اطلاع میدهد این سند حاوی پیوندهایی به پروندههای خارجی است و از آنها میخواهد تا اجازه دهند و یا رد کنند که این محتواها بازیابی و نمایش داده شوند. اگر اجازه داده شود، این سند مخرب با محتوای میزبانی شده توسط مهاجم ارتباط برقرار میکند تا کدی را که برای آغاز گسترش آلودگی بدافزار DNSMessenger اجرا میشود، را بازیابی کند. محققان میگویند: «جالب است که زمینهی DDEAUTO مورد استفاده توسط سند مخرب کدی را بازیابی میکند که مهاجم در ابتدا وبگاه دولتی ایالت لوئیزینا قرار داده بود که به نظر میرسد به خطر افتاده بود و برای این منظور مورد استفاده قرار میگرفت.»
نحوهی محافظت از خود و تشخیص حملات تبادل دادهی پویای مایکروسافت ورد
چیزی که بیشتر نگرانکننده است این است که مایکروسافت این مسئله را به عنوان یک مورد امنیتی در نظر نمیگیرد، بلکه به گفتهی این شرکت پروتکل تبادل دادههای پویا یک ویژگی است که نمیتواند برداشته شود اما میتواند با اعلان هشدارهای بهتر برای کاربران در آینده بهبود یابد. اگرچه هیچ راه مستقیمی برای غیرفعال کردن اجرای کد تبادل دادههای پویا وجود ندارد، کاربران میتوانند فعالانه به کارنامهی سامانه برای بررسی بهرهبرداریهای بالقوه نظارت کنند.
علاوهبر این، محققان آزمایشگاه NVISO دو دستورالعمل YARA برای تشخیص بردار تبادل دادههای پویا در پروندههای Office Open XML به اشتراک گذاشتهاند. بهترین راه برای اینکه از سامانهی خود در برابر چنین بدافزارهایی محافظت کنید این است که نسبت به تمام اسنادی که توسط یک رایانامه ارسال میشوند مشکوک باشید و هرگز روی پیوندهای موجود در این اسناد کلیک نکنید مگر اینکه منبع این رایانامهها را کاملا تایید کنید.
منبع : news.asis.io
