info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

چگونه با یک فایل پاورپوینت هک شویم؟!

خلاصه: چند ماه پیش در گزارشی اعلام نمودیم که آسیب‌پذیری که روی مایکروسافت آفیس وجود دارد موجب می‌شود که کاربران تنها با باز نمودن یک فایل آلوده کامپیوتر خود را در اختیار هکر قرار دهند. یک کمپین هکری جدید از این روش هک با استفاده از فایل‌های پاورپوینت اقدام به هک سیستم‌هایی می‌کند که وصله‌های این آسیب‌پذیری را نصب ننموده‌اند. کمپین جدید به دلیل استفاده از روش جدید از چشم آنتی‌ویروس‌ها نیز پنهان می‌ماند.

 

 

اجرا کردن یک فایل پاورپوینت می‌تواند موجب هک شدن سیستم شما و در اختیار قرار دادن کنترل کامل سیستم به هکرها می‌شود. این فایل از آسیب‌پذیری مایکروسافت آفیس که در ماه آوریل آشکار شد و با شناسه بین‌المللی CVE-2017-0199 شناخته می‌شود استفاده می‌کند. این آسیب‌پذیری که یک نوع آسیب‌پذیری اجرای کد از راه دور است که در اینترفیس OLE ویندوز قرار دارد. این آسیب‌پذیری در ماه آوریل افشا شد و اندکی پس از آن نیز این آسیب‌پذیری وصله شد. اما همچنان هکر‌ها از این آسیب‌پذیری استفاده کرده و افرادی که این وصله‌ها را نصب نکرده‌اند قربانی خود قرار می‌دهند.

محققان به تازگی گروهی را کشف نموده‌اند که با استفاده از اکسپلویتی که قبلا بر روی فایل ورد استفاده شده بود روی فایل‌های پاورپوینت استفاده نموده است. بر اساس گزارش محققان شرکت ترند میکرو که این گروه هکری را کشف نموده‌اند، این گروه با استفاده از ایمیل‌های فیشینگ که مدعی است حاوی قیمت‌های کابل‌های الکتریکی است و هدف آن شرکت‌هایی بوده است که تولید کننده قطعات الکتریکی و الکترونیکی بوده است.

در این روش حمله مهاجم کار خود را با ارسال ایمیل‌های فیشینگ برای قربانیان خود آغاز می‌کند. این ایمیل‌ها دارای ضمیمه‌ای هستند که در واقع محتوی یک فایل پاورپوینت آلوده است. زمانی که قربانی این فایل را باز می‌کند یک فایل xml فراخوانی می‌شود که فایل logo.doc‌را دانلود می‌کند. این فایل با استفاده از آسیب‌پذیری CVE-2017-0199 فایل RATMAN.exe را که یک نسخه تروجان شده از یک ابزار کنترل دسترسی از راه دور است را نصب کرده و پس از آن کامپیوتر قربانی به صورت کامل در اختیار هکر خواهد بود. این ابزار امکانات مختلفی از قبیل دانلود و اجرای کد، ضبط کلید‌های فشرده شده و تصاویر صفحه نمایش و ضبط از وب‌کم و میکروفون را در اختیار هکر قرار می‌دهد.

استفاده‌های قبلی از این آسیب‌پذیری با استفاده از اکسپلویت‌های بر مبنای فایل‌های RTF بوده‌اند، این کمپین جدید که از فایل‌های پاورپوینت (pptx) برای توزیع این اکسپلویت استفاده می‌کنند از دید آنتی‌ویروس‌ها پنهان می‌مانند.

راحت‌ترین راه مقابله و جلوگیری از آلوده شدن با این بد‌افزار نصب وصله‌های امنیتی مایکروسافت است که برای وصله این آسیب‌پذیری منتشر شده است.

 

مطالب مرتبط