بسیاری از محصولات ضدویروس، عاجز در برابر این روش آلودهسازی
مهاجمان با ابداع روشی جدید، بسادگی موفق به عبور از سد بسیاری از محصولات ضدویروس متداول شدهاند.
بر اساس گزارشی که شرکت سیسکو آن را منتشر کرده، در حملات اجرا شده توسط این مهاجمان، از دو آسیبپذیری CVE-2017-0199 و CVE-2017-11882 در مجموعه نرمافزاری Office بهرهجویی شده است.
هدف اصلی، آلوده کردن دستگاه کاربران به حداقل سه بدافزار Agent Tesla،و Loki و Gamarue اعلام شده است.
حمله با ارسال یک ایمیل با پیوست فایل Wordو (DOCX) آغاز میشود. فایل مذکور بهنحوی دستکاری شده که قادر به دریافت و اجرای یک فایل RTF باشد. وظیفه فایل RTF مذکور اجرای کدهای مخرب اصلی بر روی دستگاه قربانی است.
این مهاجمان برای عبور از سد نرمافزارهای ضدویروس متداول دستدرازیهای مختلفی را بر روی فایل RTF اعمال کردهاند.
فایلهای RTF از اجزای موسوم به OLE به همراه برچسبهای کنترلی متنوعی پشتیبانی میکند.
از سویی دیگر اکثر برنامههای اجراکننده RTF براحتی از بخشهایی از فایل که از آن سر در نمیآورند صرفنظر میکنند؛ اما در عین حال اجرای فایل را هم متوقف نمیکنند.
توجه به تمامی این موارد بوده که مهاجمان را قادر به مخفی نمودن موثر کدهای حاوی بهرهجو کرده است.
اما مبهمسازی (Obfuscation) تنها تکنیک مورد استفاده این مهاجمان نبوده. بررسیهای بیشتر مشخص میسازد که سرآیند OLE نیز تغییر داده شده است؛ بهنحوی که بخش حاوی کد بهرهجو در یک برچسب (Tag) فونت در فایل RTF جاسازی شده است.
روشها مذکور در عمل بسیاری از ضدویروسهای موسوم به سنتی را از شناسایی بهرهجوها و کدهای مخرب آنها عاجز کرده است.
همانطور که اشاره شد در جریان این حملات در نهایت دستگاه کاربر به بدافزارهای Agent Tesla،و Loki و Gamarue آلوده میشود.
به گزارش شرکت مهندسی شبکه گستر، Agent Tesla، ابزاری برای سرقت اطلاعات است؛ از جمله قابلیتهای آن میتوان به توانایی سرقت رمز عبور 25 برنامه پراستفاده همچون مرورگرها، نرمافزارهای مدیریت ایمیل و مدیریت FTP اشاره کرد. ضمن اینکه امکان دسترسی از راه دور به دستگاه آلوده شده را نیز برای مهاجمان فراهم میکند.
Loki نیز در زمره بدافزارهای سارق اطلاعات قرار میگیرد. بهتازگی نیز قابلیت سرقت رمز عبور کیفهای ارز رمز به آن افزوده شده است.
Gamarue، ضمن توانایی سرقت اطلاعات، امکان دسترسی از راه دور را نیز برای مهاجمان فراهم میکند.
توضیح اینکه نمونههای اشاره شده در گزارش سیسکو با نامهای زیر توسط دو ضدویروس McAfee و Bitdefender قابل شناسایی میباشند:
Bitdefender
– Exploit.RTF-ObfsObjDat.Gen
– Exploit.RTF-ObfsStrm.Gen
– Trojan.Downloader.JULW
– Trojan.GenericKD.31215354
– Trojan.GenericKD.31222759
– Trojan.GenericKD.40479488
– Trojan.GenericKD.40517043
McAfee
– Exploit-CVE2017-0199.bj
– Exploit-CVE2017-11882.ba
– Exploit-CVE2017-11882.o
– Exploit-CVE2017-8759.y
– Packed-FLG!2E10D027CF06
– Packed-FLG!7DC280D918DB
– RDN/Generic BackDoor
– RDN/Generic.dx
مشروح گزارش سیسکو در لینک زیر قابل دریافت و مطالعه است:
