ویروسها به نرمافزار word هم رحم نکردند
محققان امنیتی دریافتند که یک کمپین بدافزاری جدید در جهان باتنتی پیشرفته را گسترش دادهاند که از حداقل سه نقص آشکار شده Microsoft Office استفاده میکنند.
خبرگزاری ایسنا: محققان امنیتی دریافتند که یک کمپین بدافزاری جدید در جهان باتنتی پیشرفته را گسترش دادهاند که از حداقل سه نقص آشکار شده Microsoft Office استفاده میکنند.
بهترین راه برای محافظت از اطلاعات خودتان و سازمانتان در برابر حملههای بدافزاری همیشه مشکوک بودن به متنهای ناخواسته از طریق یک ایمیل است و اینکه هرگز بر روی لینکهای داخل متن کلیک نشود، مگر اینکه منبع بهاندازه کافی تائید شده باشد. مهمتر اینکه همواره نرمافزار و سیستم خود را بهروز نگه دارید چون اغلب موارد تهدیدآمیز اخیراً کشف شدهاند اما آسیبپذیریها در این نرمافزار محبوب بهصورت ضمیمه شده است و در این حالت توانایی برای ضربههای موفق را افزایش میدهد.
از ابتدای سال ۲۰۱۶، Zyklon که یک بدافزار باتنتی HTTP است با سرورهای دستوری و کنترلی از طریق شبکه ناشناس Tor ارتباط برقرار کرده است و به مهاجمها اجازه میدهد که از راه دور اطلاعات حساس مانند رمز عبور ذخیرهشده در مرورگر و اطلاعات ایمیل را سرقت کند. Zyklon بدافزاری است که طی دو سال کاملاً مجهز گشته و خدمات مالی، بیمه و مخابراتی را هدف قرار میدهد.
این بدافزارها قادر است که افزونههای محرمانه دیگری را با استفاده از سیستمهای مخرب برای حملههای DDOS و رمزنگاری ارزی اجرا کنند. نسخههای مختلف بدافزار Zyklon قبلاً در بازارهای زیرزمینی محبوب به ازای ۷۵ دلار (نسخه معمولی) و ۱۲۵ دلار (نسخه فعالشده Tor) تبلیغ میشد.
طبق اطلاعات سایت پلیس فضای تولید و تبادل اطلاعات، مهاجمان از این سه نقص Microsoft Office استفاده میکنند تا یک اسکریپت Powershell را بر روی کامپیوترهای قربانی اجرا میکند و از این طریق بتوانند آخرین بارگذاری مرتبط با پرداخت را از سرور C&C دانلود کنند.
نقص NET Framework RCE (CVE-۲۰۱۷-۸۷۵۹).
NET Framework. ورودیهای غیر معتبر را پردازش میکند و به مهاجمان اجازه میدهد که کنترل سیستم آسیبدیده را به دست بگیرند و این کار را از طریق فریب قربانیان به باز کردن فایل متنی مخرب ارسالشده از طریق یک ایمیل انجام میدهند. مایکروسافت از قبل یک افزونه امنیتی برای این نقص در بهروزرسانیهای سپتامبر منتشر کرده است.
نقص Microsoft Office RCE (CVE-۲۰۱۷- ۱۱۸۸۲)
اینیک نقص حافظه ۱۷ ساله است که مایکروسافت در بهروزرسانی افزونه نوامبر اضافه کرده است و به مهاجم اجازه میدهد که متن مخرب را از راه دور روی سیستمهای قربانی بدون نیاز به هرگونه ارتباطی و فقط پس از باز کردن فایل متنی مخرب اجرا کند.
پروتکل Dynamic Data Exchange (DDE Exploit)
این تکنیک به مهاجمان اجازه میدهد که از یک ویژگی ذاتی Microsoft Office استفاده کنند که DDE نامیده میشود و بدین طریق اجرای کد را روی وسیله هدف قرار دادهشده بدون نیاز به ماکرو انجام دهند.
بنابر ادعای محققان، مهاجمان بهصورت فعال این سه نقص را مورد بهرهبرداری قرار دادهاند تا بدافزار Zyklon را با استفاده از ایمیلهای Spear Phishing بفرستند که همراه با یک فایل ZIP ضمیمهشده میرسد و دربردارنده یک فایل متنی آفیس مخرب است.
بهمحض باز شدن، این فایل متنی مخرب توسط یکی از این آسیبپذیریها مجهز میشود و یک اسکریپت Powershell را اجرا میکند که درنهایت آخرین بارگذاری پرداخت را دانلود میکند، مانند کاری که بدافزار Zyklon HTTP برروی کامپیوتر آسیبدیده میکند.
محققان FireEye ادعا میکنند "در تمام این تکنیکها، دامنهای یکسان جهت دانلود قسمت بعدی بارگذاری پرداخت (Pause.ps۱) مورد استفاده قرار میگیرد که یک اسکریپت Powershell دیگر است که Base۶۴ encoded است". "اسکریپت Pause.ps۱ مسئول حل API های موردنیاز برای ورود کد است و همچنین دربرگیرنده Shellcode قابل تزریق است".
کد تزریقشده مسئول دانلود بارگذاری پرداخت از سرور است. آخرین بخش بارگذاری پرداخت یک PE کامپایلر شده قابلاجرا همراه با.NET framework است. به طرز شگفتانگیزی، اسکریپت Powershell با یک آدرس IP بدون نقطه ارتباط برقرار میکند (مانند http://۳۶۲۷۷۳۲۹۴۲) تا آخرین بارگذاری پرداخت را دانلود کند.
آدرس IP بدون نقطه چیست؟
اگر شما از آدرس IP بدون نقطه بیاطلاع هستید، این آدرس گاهی تحت عنوان "آدرس دسیمال" هم یاد میشود که مقادیر دسیمال آدرس IPv۴ است. تقریباً تمام مرورگرهای اینترنت مدرن آدرس IP دسیمال را اجرا میکند. بهعنوان مثال، آدرس IP گوگل ۲۱۶.۵۸.۲۰۷.۲۰۶ میتواند نمایانگر http://۳۶۲۷۷۳۲۹۴۲ در مقادیر دسیمال باشد، این تبدیل را در converter امتحان کنید.
بهترین راه برای محافظت از اطلاعات خودتان و سازمانتان در برابر حملههای بدافزاری همیشه مشکوک بودن به متنهای ناخواسته از طریق یک ایمیل است و اینکه هرگز بر روی لینکهای داخل متن کلیک نشود، مگر اینکه منبع بهاندازه کافی تائید شده باشد. مهمتر اینکه همواره نرمافزار و سیستم خود را بهروز نگه دارید چون اغلب موارد تهدیدآمیز اخیراً کشف شدهاند اما آسیبپذیریها در این نرمافزار محبوب بهصورت ضمیمه شده است و در این حالت توانایی برای ضربههای موفق را افزایش میدهد.
از ابتدای سال ۲۰۱۶، Zyklon که یک بدافزار باتنتی HTTP است با سرورهای دستوری و کنترلی از طریق شبکه ناشناس Tor ارتباط برقرار کرده است و به مهاجمها اجازه میدهد که از راه دور اطلاعات حساس مانند رمز عبور ذخیرهشده در مرورگر و اطلاعات ایمیل را سرقت کند. Zyklon بدافزاری است که طی دو سال کاملاً مجهز گشته و خدمات مالی، بیمه و مخابراتی را هدف قرار میدهد.
این بدافزارها قادر است که افزونههای محرمانه دیگری را با استفاده از سیستمهای مخرب برای حملههای DDOS و رمزنگاری ارزی اجرا کنند. نسخههای مختلف بدافزار Zyklon قبلاً در بازارهای زیرزمینی محبوب به ازای ۷۵ دلار (نسخه معمولی) و ۱۲۵ دلار (نسخه فعالشده Tor) تبلیغ میشد.
طبق اطلاعات سایت پلیس فضای تولید و تبادل اطلاعات، مهاجمان از این سه نقص Microsoft Office استفاده میکنند تا یک اسکریپت Powershell را بر روی کامپیوترهای قربانی اجرا میکند و از این طریق بتوانند آخرین بارگذاری مرتبط با پرداخت را از سرور C&C دانلود کنند.
نقص NET Framework RCE (CVE-۲۰۱۷-۸۷۵۹).
NET Framework. ورودیهای غیر معتبر را پردازش میکند و به مهاجمان اجازه میدهد که کنترل سیستم آسیبدیده را به دست بگیرند و این کار را از طریق فریب قربانیان به باز کردن فایل متنی مخرب ارسالشده از طریق یک ایمیل انجام میدهند. مایکروسافت از قبل یک افزونه امنیتی برای این نقص در بهروزرسانیهای سپتامبر منتشر کرده است.
نقص Microsoft Office RCE (CVE-۲۰۱۷- ۱۱۸۸۲)
اینیک نقص حافظه ۱۷ ساله است که مایکروسافت در بهروزرسانی افزونه نوامبر اضافه کرده است و به مهاجم اجازه میدهد که متن مخرب را از راه دور روی سیستمهای قربانی بدون نیاز به هرگونه ارتباطی و فقط پس از باز کردن فایل متنی مخرب اجرا کند.
پروتکل Dynamic Data Exchange (DDE Exploit)
این تکنیک به مهاجمان اجازه میدهد که از یک ویژگی ذاتی Microsoft Office استفاده کنند که DDE نامیده میشود و بدین طریق اجرای کد را روی وسیله هدف قرار دادهشده بدون نیاز به ماکرو انجام دهند.
بنابر ادعای محققان، مهاجمان بهصورت فعال این سه نقص را مورد بهرهبرداری قرار دادهاند تا بدافزار Zyklon را با استفاده از ایمیلهای Spear Phishing بفرستند که همراه با یک فایل ZIP ضمیمهشده میرسد و دربردارنده یک فایل متنی آفیس مخرب است.
بهمحض باز شدن، این فایل متنی مخرب توسط یکی از این آسیبپذیریها مجهز میشود و یک اسکریپت Powershell را اجرا میکند که درنهایت آخرین بارگذاری پرداخت را دانلود میکند، مانند کاری که بدافزار Zyklon HTTP برروی کامپیوتر آسیبدیده میکند.
محققان FireEye ادعا میکنند "در تمام این تکنیکها، دامنهای یکسان جهت دانلود قسمت بعدی بارگذاری پرداخت (Pause.ps۱) مورد استفاده قرار میگیرد که یک اسکریپت Powershell دیگر است که Base۶۴ encoded است". "اسکریپت Pause.ps۱ مسئول حل API های موردنیاز برای ورود کد است و همچنین دربرگیرنده Shellcode قابل تزریق است".
کد تزریقشده مسئول دانلود بارگذاری پرداخت از سرور است. آخرین بخش بارگذاری پرداخت یک PE کامپایلر شده قابلاجرا همراه با.NET framework است. به طرز شگفتانگیزی، اسکریپت Powershell با یک آدرس IP بدون نقطه ارتباط برقرار میکند (مانند http://۳۶۲۷۷۳۲۹۴۲) تا آخرین بارگذاری پرداخت را دانلود کند.
آدرس IP بدون نقطه چیست؟
اگر شما از آدرس IP بدون نقطه بیاطلاع هستید، این آدرس گاهی تحت عنوان "آدرس دسیمال" هم یاد میشود که مقادیر دسیمال آدرس IPv۴ است. تقریباً تمام مرورگرهای اینترنت مدرن آدرس IP دسیمال را اجرا میکند. بهعنوان مثال، آدرس IP گوگل ۲۱۶.۵۸.۲۰۷.۲۰۶ میتواند نمایانگر http://۳۶۲۷۷۳۲۹۴۲ در مقادیر دسیمال باشد، این تبدیل را در converter امتحان کنید.
تبلیغات متنی
-
زنبورها «ویروسها» را در غذا تشخیص میدهند
-
قهرمانی زودهنگام اینتر در سریآ
-
ترامپ عفو مجدد نتانیاهو را خواستار شد
-
فال روزانه دوشنبه ۱۴ اردیبهشت ۱۴۰۵ | فال امروز| Daily Omen
-
جنجال ستاره فرانسوی در آستانه الکلاسیکو
-
لحظه اصابت صاعقه به یک ساختمان در تبریز
-
فرود اضطراری هواپیمای حامل آقای نخستوزیر در ترکیه
-
پیام مشکوک ترامپ درباره پروژه آزادی در تنگه هرمز!
-
مثل افتادن در قعر یک چاه عمیق؛ مردم بیاینترنت ایران
-
شوک جدید تیم ملی به امیر قلعهنویی
-
ایران از عربستان قدردانی کرد
-
ادعای مسدودسازی داراییهای ایران توسط کشورهای عربی
-
سفر ترامپ به چین طبق برنامه انجام میشود
-
پایان یک گروگانگیری عجیب در سراوان بعد از ۱۲ روز
-
ویتکاف: در حال انجام گفتوگو با ایران هستیم
-
پیام مشکوک ترامپ درباره پروژه آزادی در تنگه هرمز!
-
مثل افتادن در قعر یک چاه عمیق؛ مردم بیاینترنت ایران
-
ادعای مسدودسازی داراییهای ایران توسط کشورهای عربی
-
پایان یک گروگانگیری عجیب در سراوان بعد از ۱۲ روز
-
خبرگزاری فارس: آمریکا شروط خود را تعدیل کرد
-
حمله حزبالله به خودروی حامل فرماندهان اسرائیل
-
چندین محموله سلاح وارد فرودگاه «بنگوریون» شد
-
آمریکا پاسخ طرح ۱۴ بندی ایران را داد
-
پیشنهاد دولت برای افزایش دو برابری کالابرگ
-
چند نکته درباره سخنان امام جمعه رشت علیه زنان بیحجاب
-
ادعای ترامپ: پیشنهاد جدید ایران خوب نیست
-
سلام یونایتد به لیگ قهرمانان با شکست رقیب دیرینه
-
ادعای مقام آمریکایی مبنیبر تعطیلی تاسیسات نفتی ایران
-
واکنش یاسر آسانی به پیشنهاد جدید و خبر جدایی
-
ادعای الجزیره درباره محتوای طرح پیشنهادی ایران
-
انتقاد شدید یک رسانه به اتفاقات ساحل کیش
-
خبر قرارگاه خاتمالانبیا درباره احتمال جنگ مجدد
-
فوری؛ ادعای خطرناک نتانیاهو درباره ایران
-
ماجرای خبر عجیب جدایی شارجه از امارات!
-
خبر ناامیدکننده امیرحسین ثابتی درباره اینترنت!
-
اظهارات ترامپ درباره ایران ۱۸۰درجه تغییر کرد!
-
جنگ از تنگه هرمز به سوپرمارکتها و مراکز خرید رسید
-
داستان یک بیلبورد که آینده قالیباف را پیشبینی کرد
-
حرکات عجیب ترامپ در سخنرانی دیشب سوژه شد
-
مجری فاکسنیوز سلاح جدید انتحاری ایران را معرفی کرد
-
خودروی لاکچری یک راننده اسنپ در تهران سوژه شد
-
اسامی و تصاویر ۱۴ تن از شهدای دیروز زنجان
-
تورم در ایران حتی برای فلافل هم جانشین پیدا کرد!
-
حرکت عجیب مجری، روی آنتن زنده صدا و سیما!
-
واریز حقوق بازنشستگان تامین اجتماعی با رقم اضافه
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر