info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

سو استفاده هکرها از ویژگی پنهان اسناد آفیس

خلاصه: با استفاده از یک ویژگی مخفی اسناد آفیس هکر‌ها می‌توانند اطلاعات سیستم قربانی را به دست آورند. این کار با استفاده از کد ماکرو یا اکسپلویت انجام نمی‌شود و یک ویژگی مخفی اسناد آفیس این قابلیت را در اختیار هکر قرار می‌دهد. محققان شرکت کسپراسکی متوجه شده‌اند از این قابلیت در فاز شناسایی هدف برای حملات چند‌ مرحله‌ای استفاده می‌شود.

یک ویژگی مخفی مایکروسافت آفیس به هکرها اجازه جمع‌آوری اطلاعات حساس پیکربندی سیستم هدف را روی سیستم هدف تنها با استفاده از باز کردن یک فایل ورد امکان‌پذیر می‌کند. این فایل نیاز به استفاده از کد اکسپلویت، ماکرو و یا  فایل مخربی ندارد و از یک ویژگی مخفی اسناد آفیس استفاده می‌کند.

بر اساس گفته محققین شرکت کسپراسکی هکرها از این ویژگی به عنوان قسمتی از حمله چندمرحله‌ای برای جمع‌آوری اطلاعات پیکربندی سیستم هدف استفاده می‌کنند.

این ویژگی در همه نسخه‌های مایکروسافت آفیس در سیستم‌عامل‌های ویندوز، اندورید و iOS ‌وجود دارد. محققان دریافته‌اند که کمپین‌های فیشینگ از این تکنیک برای حملات آینده استفاده می‌کنند. به منظور داشتن یک حمله موفق فاز شناسایی فاز مهمی است. برای هکرها استفاده از این ابزار به منظور شناسایی سیستم هدف مزایای فراوانی دارد و می‌توانند پیکربندی سیستم هدف را قبل از حمله به دست آورند.

کمپین‌های فیشینگ برای این منظور از فایل‌های مایکروسافت ورد در فرمت OLE2 استفاده می‌کنند. OLE به نویسنده فایل اجازه می‌دهد که اشیای مختلف را در آن تعبیه کرده و به منابع مختلف تحت یک فایل ورد لینک پیدا کند.

زمانی که کارشناسان نگاه دقیق‌تری به کد مربوط به ضمیمه ورد این کمپین فیشینگ انداختند به فیلد INCLUDEPICTURE پی بردند که به جای استفاده از حالت ASCII در ساختار خود از Unicode استفاده می‌کند. این فیلد مشخص می‌کند که در یک فایل تصویر ضمیمه شده است یا خیر. هکرها از این ویژگی سو استفاده می‌کنند و با یک اسکریپت به زبان PHP اطلاعات کامپیوتر هدف را به یک سرور ارسال می‌کنند.

همانطور که گفته شد این ویژگی در  مایکروسافت آفیس مستند نشده و در مورد آن صحبت نشده است و مشخص نشده اطلاعات این فیلد چگونه تفسیر می‌شوند و مساله پیچیده‌ای بوده که هکرها توانسته‌اند با استفاده از آن به جمع‌آوری اطلاعات بپردازند. محققان می‌گویند در ابتدا هیچ نشانه‌ای از مخرب بودن فایل‌ها دیده نمی‌شود و با بررسی‌های عمیق به این سو استفاده پی برده شده است.