با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

استفاده از طراحی RTF و اکسپلویت آفیس در یک حمله چندمرحله‌ای

خلاصه: یک حمله‌ی چند‌مرحله‌ای جدید با استفاده از اسناد که به‌تازگی کشف شده است از رفتارهای طراحی در .docx و RTF در کنار CVE-2017-8570 استفاده کرده و بدین ترتیب یک پیلود مخرب به‌نام Formbook را بر روی ماشین هدف رها می‌کند. Formbook آخرین پیلود در این سناریو است که یک بدافزار تجاری بوده و قابلیت گرفتن اسکرین‌شات، دزدیدن اطلاعات شناسایی شخصی، ثبت کلید‌های فشرده شده و دانلود کامپوننت‌های اضافه در صورت نیاز را دارا می‌باشد.

 

عاملان تهدید، CVE-2017-8570 را با رفتارهای طراحی شناخته‌شده در .docx و RTF ترکیب کردند تا یک حمله‌ی چند مرحله‌ای را راه‌اندازی کنند.

یک حمله‌ی چند‌مرحله‌ای جدید با استفاده از اسناد که به‌تازگی کشف شده است از رفتارهای طراحی در .docx و RTF در کنار CVE-2017-8570 استفاده کرده و بدین ترتیب یک پیلود مخرب به‌نام Formbook را بر روی ماشین هدف رها می‌کند. مهاجمان در این حمله، ابزارهای امنیتی را با URLها دور می‌زنند.

محققان آزمایشگاه امنیتی Menlo که سند مرحله‌ی دوم را جداسازی کردند می‌گویند که رفتارهایی که این حمله را فعال می‌کنند جدید نیستند اما این تهدید نشان‌دهنده‌ی یک راه رایج برای هکرها برای کنار زدن دفاع‌های امنیتی با اتکا به اشیا مخرب میزبان از راه دور، می‌باشد.

اولین مرحله از این حمله یک ایمیل فیشینگ با یک فایل .docx مخرب ضمیمه شده است. این فایل هیچ ماکرویی ندارد و از هیچ اکسپلویتی هم استفاده نمی‌کند. در قسمت فریم این سند یک URL درج شده است. اکر سند باز شود، Word درخواست‌های HTTPای برای دانلود آبجت راه دور که URL به آن اشاره می‌کند، ایجاد می‌کند. که در این مورد به یک URL دیگر که به یک فایل RTF مخرب اشاره می‌کند، هدایت می‌شود.

مهاجمان از قابلیت‌هایی در Word استفاده می‌کنند که قبلا زمانی که یک ویایشگر HTML بود از آن‌ها استفاده می‌شد. کسی از Word برای ویرایش HTML استفاده نمی‌کند، اما فراخوانی‌های API و توابع آن هنوز وجود دارند و عوامل تهدید از آن‌ها استفاده می‌کنند.

فایل RTF شامل یک اسکریپت جاسازی شده و یک اکسپلویت دیگر است. این فایل مرحله‌ی دو حمله را نشان می‌دهد که از یک رفتار طراحی در اسناد RTF و آسیب‌پذیری CVE-2017-8570 استفاده می‌کند. زمانی که یک سند RTF با یک شی جاسازی‌شده، باز شود، آن شی به‌صورت خودکار در دایرکتوری %TEMP% ویندوز رها می‌شود.

نیمی از حمله با رها کردن کامپوننت مخرب بر روی دستگاه هدف انجام می‌شود، اما برای در دست گرفتن کامل ماشین، نیاز است که کامپوننت اجرا شود.  CVE-2017-8570 این کار را با اجرای شی و رها کردن بدافزار Formbook انجام می‌دهد.

Formbook آخرین پیلود در این سناریو است که یک بدافزار تجاری بوده و قابلیت گرفتن اسکرین‌شات، دزدیدن اطلاعات شناسایی شخصی، ثبت کلید‌های فشرده شده و دانلود کامپوننت‌های اضافه در صورت نیاز را دارا می‌باشد.

گفته می‌شود که این اولین باری است که Formbook با استفاده از این روش خاص، توزیع می‌شود.

درحال حاضر، مهاجمان اکسپلویت‌ها را با رفتارهای طراحی ترکیب کرده و آبجکت‌ها مخرب راه دور را فراخوانی و بر روی سیستم‌قربانی اجرا می‌کنند.