info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

امکان اجرای بدافزار بدون نیاز به ماکروی فعال شده با استفاده از ویژگی داخلی MS Office

خلاصه: محققان امنیتی حملاتی را کشف کرده‌اند که اسناد مایکروسافت‌ورد مجهز به بدافزار را منتشر می‌کنند که این اسناد بر روی دستگاه هدف به اجرای کد می‌پردازند. اجرای کد بر روی دستگاه قربانی بدون نیاز به فعال کردن ماکرو انجام می‌شود. این اجرای کد بدون ماکرو در تکنیک MSWord از یک ویژگی داخلی MSOffice به ‌نام Dynamic Data Exchange برای اجرای کد استفاده می‌کند. هیچ‌ راه مستقیمی برای غیرفعال کردن اجرای کد DDE وجود ندارد و بهترین راه برای محافظت از خود در برابر چنین حملات مخربی این است که همیشه نسبت به هر سند ناخواسته‌ای که از طریق ایمیل برای شما ارسال می‌شود مشکوک باشید.

 

از آن‌جایی که اَشکال جدیدی از جرایم اینترنتی افزایش یافته است، به‌نظر می‌رسد تکنیک‌های سنتی به سمت مخفی‌تر شدن پیش می‌روند که این شامل بهره‌برداری از ابزار و پروتکل‌های استاندارد سیستم است که همیشه تحت نظارت نیستند.

محققان امنیتی در گروه تحقیقات امنیتی سیسکوتالوس یک چنین حملاتی را کشف کرده‌اند که اسناد مایکروسافت‌ورد مجهز به بدافزار را منتشر می‌کنند که این اسناد بر روی دستگاه هدف به اجرای کد می‌پردازند. اجرای کد بر روی دستگاه قربانی بدون نیاز به فعال کردن ماکرو انجام می‌شود. این اجرای کد بدون ماکرو در تکنیک MSWord از یک ویژگی داخلی MSOffice به‌ نام Dynamic Data Exchange برای اجرای کد استفاده می‌کند.

پروتکل انتقال داده‌ی پویا (DDE) یکی از چندین متدی است که مایکروسافت اجازه می‌دهد دو برنامه‌ی در حال اجرا داده‌های یکسان را به اشتراک بگذارند. این پروتکل می‌تواند برای انتقال داده و برای تبادل مداوم به‌روزرسانی‌ها استفاده شود. هزاران برنامه شامل Excel، Word، Quattro Pro و ویژوال‌بیسیک از پروتکل DDE استفاده می‌کنند.

تکنیک بهره‌برداری که محققان آن را شرح داده‌اند، هیچ هشدار امنیتی را به قربانیان نشان نمی‌دهد، مگر این‌که از آن‌ها درخواست کند که اگر می‌خواهند برنامه‌ای که در دستور مشخص شده است را اجرا کنند –به ‌هر حال این هشدار نیز از طریق "اصلاح نحوی مناسب" حذف می‌شود.

این تکنیک به ‌طور عمده توسط هکرها برای هدف قرار دادن چندین سازمان از طریق ایمیل فیشینگ مورد سوءاستفاده قرار گرفته است. ایمیل‌ها حاوی یک فایل مخرب مایکروسافت‌ورد می‌باشند که وقتی باز می‌شود یک فرآیند چندمرحله‌ای پیشرفته‌ای را که منجر به آلودگی با بدافزار DNSMessenger می‌شود، آغاز می‌کند.

در اوایل مارس محققان تالوس مهاجمانی را پیدا کردند که به توزیع بدافزار DNSMessenger می‌پرداختند –یک تروجان دسترسی از راه دور (RAT) که از کوئری‌های DNS برای اجرای دستورات مخرب PowerShell در رایانه‌های آسیب‌دیده استفاده می‌کند.

پس از باز شدن فایل ورد به قربانیان پیامی داده می‌شود که سند حاوی لینک‌هایی به فایل‌های خارجی می‌باشد و  از آن‌ها اجازه گرفته می‌شود که محتوا بازیابی و نمایش داده شود یا نادیده گرفته شود. اگر مجوز بازیابی محتوا داده شود، سند مخرب با محتوای میزبانی شده توسط مهاجم به ‌منظور بازیابی کدی که باید برای شروع آلودگی با بدافزار DNSMessenger اجرا شود، ارتباط برقرار می‌کند.

مایکروسافت این مورد را به‌ عنوان یک مسئله‌ی امنیتی در نظر نمی‌گیرد. براساس نظر این کمپانی، پروتکل DDE یک ویژگی است که نمی‌تواند برداشته شود اما می‌تواند با هشدارهای بهتر در آینده بهبود یابد.

اگرچه هیچ ‌راه مستقیمی برای غیرفعال کردن اجرای کد DDE وجود ندارد، اما کاربران می‌توانند به‌ طور فعال بر لاگ‌های رویداد‌های سیستم برای بررسی رویداد‌های احتمالی، نظارت داشته باشند.

بهترین راه برای محافظت از خود در برابر چنین حملات مخربی این است که همیشه نسبت به هر سند ناخواسته‌ای که از طریق ایمیل برای شما ارسال می‌شود مشکوک باشید و هرگز بر روی لینک‌های موجود در اسناد کلیک نکنید مگر اینکه به‌درستی منبع را تایید کنید.