استفاده شدن از پاورپوینت در حملات هدف‌مند برای توزیع بدافزار

ویرایش شده در by غلامی

استفاده شدن از پاورپوینت در حملات هدف‌مند برای توزیع بدافزار

همانطور که میدانید،مایکروسافت پاورپویت (به انگلیسی: Microsoft PowerPoint) یک برنامه نمایشی حاضر در همه جا توسعه یافته برای سیستم‌عامل‌های مایکروسافت ویندوز و Mac OS می‌باشد. در بسیاری از موارد به همراه کسب و کار، آموزش و پرورش استفاده می‌شود، از جمله متداول‌ترین شکل‌های قانع سازی برای استفاده از تکنولوژی است.از مزیت ها و برتری های این نرم افزار به دیگر نرم افزار های گروه آفیس شرکت مایکروسافت ابزار اصلاح خودکار غلط های املایی (به انگلیسی: Auto Correcting) می باشد.

مستحضرید که،پاورپوینت نرم‌افزاریست که هم اکنون ۹۵ درصد سهم نرم‌افزارهای ارائه کنفرانس در بازار جهانی را داراست؛ همچنین قابل توجه است که بیش از یک میلیارد نسخه از آن بر روی رایانه‌های جهان نصب شده و تخمین زده می‌شود که در جهان در هر ثانیه ۳۵۰ بار مورد استفاده قرار می‌گیرد.جالب است که مطلع شوید این نرم افزار پراستفاده هم اکنون باعث بروز مشکل امنیتی در مایکروسافت شده،با ادامه خبر در اینباره با ما همراه باشید…

در همین راستامحققان امنیتی هشدار دادند که مهاجمان از یک پرونده‌ی مخرب پاورپوینت به همراه یک آسیب‌پذیری وصله‌شده در مایکروسافت بهره‌برداری کرده و سازمان ملل متحد، وزارت‌خانه‌های امور خارجه و سازمان‌های بین‌المللی را هدف قرار می‌دهند.باید خاطر نشان کنیم که،در این حملات از یک پرونده‌ی مخرب با نام ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx و آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۰۱۹۹ بهره‌برداری می‌شود. گفته می‌شود شرکت مایکروسافت این آسیب‌پذیری را در ماه آوریل وصله کرده است.بد نیست بدانید که، قبلا نیز مهاجمان از این آسیب‌پذیری برای توزیع بدافزارهایی مانند Dridex ،WingBird ،Latentbot و Godzilla بهره‌برداری شده بود. این بهره‌برداری همچنان در فضای مجازی موجود بوده و مهاجمان در حملات خود از آن استفاده می‌کنند.

 

استفاده شدن از پاورپوینت در حملات هدف‌مند برای توزیع بدافزار

 


همچنین باید به این مهم اشاره کرد که؛محققان می‌گویند احتمالا با اجرای این دستورات، بار داده‌ی نهایی بدافزار بارگیری می‌شد. محققان سیسکو ماه گذشته کشف کردند که مهاجمان از بهره‌برداری‌های آفیس برای دور زدن سامانه‌های امنیتی و افزایش ترخ تحویل بدافزارها استفاده می‌کنند. محققان اخیرا نیز متوجه شدند که مهاجمان می‌توانند در داخل یک کد، روش‌های مختلفی را پیاده‌سازی کرده و از تشخیص فرار کرده و امتیازات خود را ارتقاء دهند.

اگر در جریان آخرین اخبار حوزه امنیت بوده باشید،میدانید که،ماه قبل نیز شاهد بودیم که در حملاتی از پرونده‌های پاورپوینت به همراه بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۷-۰۱۹۹ برای توزیع بدافزار استفاده می‌شد. در این حملات نسخه‌ی آلوده به تروجانِ REMCOS و تروجان‌های دسترسی از راه دور توزیع می‌شد. زمانی که در پرونده‌ی پاورپوینت، ویژگی «نمایش اسلاید» باز می‌شود، یک اسکریپت راه‌اندازی شده و بهره‌برداری مورد نظر، یک کدِ راه دور را از یک پرونده‌ی XML به همراه جاوا اسکریپت از دامنه‌ی narrowbabwe[.]net. بارگیری می‌کند. در ادامه آن را با استفاده از ویژگی «نمایش اسلاید» در پاورپوینت اجرا می‌کند.

این بهره‌برداری همچنین قادر است کنترل حساب کاربری را با سرقت رجیستری دور زده و در ادامه پرونده‌ی eventvwr.exe را اجرا کند. شایان ذکر است که،این اسکریپت همچنین این قابلیت را دارد که تشخیص دهد که آیا در داخل ماشین مجازی اجرا می‌شود؟ اگر اسکریپت تشخیص دهد که در داخل ماشین مجازی اجرا نمی‌شود، می‌تواند فرآیند خود را ادامه داده و داده‌هایی را برای کارگزار راه دور ارسال کند.

 

منبع

این نوشته تا چه حد مفید بود؟
[Total: 0 Average: 0]

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.