نماد سایت اتاق خبر شبکه گستر

انتشار بدافزار از طریق فایل‌های XLL

در پی تصمیم شرکت مایکروسافت (Microsoft) به مسدودسازی ماکرو در فایل‌هایی که از اینترنت دریافت می‌شوند، اکنون مدتی است که مهاجمان از روش‌های جایگزین نظیر افزونه‌های مخرب Excel برای انتشار بدافزارهای خود استفاده می‌کنند.

برخی محصولات شرکت مایکرسافت، از جمله مجموعه نرم‌افزارهای Office، قابلیتی با عنوان  Visual Basic for Applications – به اختصار VBA – معروف به ماکرو (Macros) دارند. کاربرانی همچون حسابداران، مهندسان صنایع و مدیران سیستم می‌توانند از ماکروها در درون فایل‌هایی همچون Word و Excel استفاده کنند. ماکروها سبب سرعت بخشیدن به اموری می‌شوند که روالی تکرارشونده دارند.

بر اساس گزارشی که شرکت سیسکو (Cisco) آن را منتشر کرده، مهاجمان به طور فزاینده‌ای از افزونه‌های (Add-in) نرم‌افزار Excel در قالب فایل‌های XLL به عنوان بردار نفوذ اولیه جهت آلوده‌سازی سیستم‌های کاربران و رخنه به سازمان‌ها استفاده می‌کنند.

مدتهاست که توزیع فایل‌های نرم‌افزارهای مختلف Office از طریق ایمیل‌های فیشینگ‌ نیزه‌ای (Spear-phishing) و سایر حملات مهندسی اجتماعی به طور گسترده توسط مهاجمان برای نفوذ به اهداف خود مورد استفاده قرار می‌گیرد.

این فایل‌ها معمولاً قربانی را تشویق می‌کنند تا قابلیت ماکرو را جهت مشاهده محتوای به ظاهر بی‌ضرر فعال کنند. حال آن که فعالسازی آن می‌تواند منجر به دریافت بدافزار از اینترنت و اجرای آن بر روی سیستم شود. برای مقابله با این نوع از بهره‌جویی، مایکروسافت از مرداد 1401 قابلیت ماکرو را در فایل‌های Office پیوست‌شده به ایمیل مسدود نموده است.

هر چند این مسدودسازی تنها در نسخه‌های جدید Access ،Excel ،PowerPoint ،Visio و Word اعمال شده، اما با کاهش اثربخشی آن برای مهاجمان، این تبهکاران نیز در حال آزمودن تکنیک‌های جایگزین هستند.

یکی از این روش‌های جدید استفاده از فایل‌های XLL است که توسط مایکروسافت به عنوان یک نوع فایل Dynamic Link Library – به اختصار DLL – در نظر گرفته می‌شود و تنها توسط Excel باز می‌شود.

فایل‌های XLL قابل ارسال از طریق ایمیل بوده و با توجه به غیرمعمول بودن استفاده از آنها چه بسا به سادگی از سد محصولت ضدبدافزار نیز عبور کنند.

به نظر می‌رسد مهاجمان مورد اشاره شرکت سیسکو، از ترکیبی از افزونه‌های معتبر در کنار افزونه‌های اختصاصی که از طریق یک ابزار رایگان با نام Excel-DNA توسعه داده ‌شده‌اند، بهره می‌گیرند.

گفته می‌شود که اولین بهره‌جویی از فایل‌های XLL در سال 1396 رخ داده بوده است؛ در جریان آن حمله، مهاجمان APT10 (منتسب به هکرهای چینی که با نام مستعار Stone Panda نیز شناخته می‌شوند) از تکنیک Process Hollowing (تعویض فایل اجرایی و جایگزینی کد مخرب به جای آن) برای تزریق Payload از طریق «دسترسی غیرمجاز» (Backdoor) به حافظه استفاده کردند.

از آن زمان، گروه‌های دیگر نظیر TA410 (احتمالاً مرتبط با APT10)، DoNot Team ،FIN7 و همچنین Agent Tesla ،Arkei ،Buer ،Dridex ،Ducktail ،Ekipa RAT ،FormBook ،IcedID ،Vidar Stealer و Warzone RAT در حال بکارگیری این روش در حملات خود می‌باشند.

پیش‌تر نیز شرکت پالو‌ آلتو‌ نتورکس (Palo Alto Networks) از بهره‌جویی از فایل‌های XLL جهت توزیع بدافزارهای Agent Tesla و Dridex خبر داده بود که همگی بیانگر استقبال فزاینده مهاجمان از این تکنیک جدید است.

هر چه تعداد کاربرانی که از نسخ جدید Office استفاده می‌کنند افزایش پیدا کند، احتمال بهره‌جویی مهاجمان از فایل‌های XLL به‌جای سوءاستفاده از قابلیت VBA افزایش می‌یابد.

ضمن آن که تبهکاران سایبری امروزه در حملات خود به دنبال بهره‌جویی از آسیب‌پذیری‌های به تازگی کشف‌شده‌ جهت راه‌اندازی کدهای مخرب در پروسه‌های نرم‌افزار Office نیز می‌باشند.

لازم به ذکر است که مسدوسازی ماکروها و ممانعت از اجرای آنها در فایل‌های دانلود شده از اینترنت توسط مایکروسافت در فایل‌های Publisher اعمال نمی‌شود و به تبهکاران سایبری امکان می‌دهد از این نرم‌افزار در کارزارهای فیشینگ خود سوءاستفاده کنند. برای مثال می‌توان به بدافزار Ekipa RAT اشاره کرد که گردانندگانش از طریق فایل‌های Publisher که ماکروی مخرب به آنها تزریق شده بود برای توزیع آن بهره بردند. لذا آموزش کاربران در پرهیز از فعالسازی قابلیت به خصوص در فایل‌های مشکوک همچنان نقشی مهم و مؤثر در مقابله با این تهدیدات دارد.

مشروح گزارش سیسکو و نشانه‌های آلودگی (IoC) تهدیدات مورد اشاره این شرکت در نشانی زیر قابل مطالعه می‌باشد:

https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/

 

منبع

https://thehackernews.com/2022/12/apt-hackers-turn-to-malicious-excel-add.html

خروج از نسخه موبایل