بهره برداری از سه آسیب پذیری Microsoft Office برای توزیع بدافزار Zyklon

محققان امنیتی یک کمپین جدید بدافزاری را در سطح اینترنت کشف کرده‌ اند که یک بدافزار پیشرفته از نوع Botnet را با استفاده از حداقل سه آسیب‌ پذیری اخیر در microsoft office منتشر می‌ کند.

این بدافزار که Zyklon نام دارد یک بدافزار همراه با تمامی ویژگی‌ های لازم است که بعد از نزدیک به ۲ سال مجدداً ظاهر شده است که در ابتدا سیستم‌ های مخابراتی، بیمه‌ ها و سرویس‌ های خدماتی را هدف قرار داده بود.

بدافزار Zyklon از اوایل سال ۲۰۱۶ فعال است و یک بدافزار از نوع Botnet و HTTP است که با سرورهای فرماندهی و کنترل خود از طریق شبکه ناشناس Tor ارتباط برقرار می‌ کند و اجازه می‌ دهد تا مهاجمان از راه دور keylog ها، اطلاعات حساس مانند کلمه عبور ذخیره‌ شده در مرورگرهای وب و پست‌ های الکترونیک مشتریان خود را سرقت کنند.

این بدافزار قادر است تا افزونه‌ های دیگری را نیز اجرا کند که شامل استفاده مخفیانه از سیستم‌ های آلوده‌ شده برای حملات DDoS و استخراج ارزهای رمزنگاری می‌شود.

بر اساس گزارش منتشر شده توسط FireEye، مهاجمان از سه آسیب‌ پذیری زیر در microsoft office استفاده می‌کنند تا یک اسکریپت PowerShell را بر روی کامپیوترهای هدف اجرا ‌کنند تا بدین طریق payload نهایی را از سرور کنترل و فرمان خود دانلود کنند. اسکریپت PowerShell به یک آدرس IP بدون نقطه متصل می‌شود (برای مثال: http: // 3627732942) تا payload نهایی را دانلود کند. آدرس‌های IP بدون نقطه که گاهی اوقات با عنوان آدرس Decimal نامیده می‌شوند، مقادیر decimal از آدرس‌های IPv4 (که به‌صورت نماد dotted-quad نمایش داده می‌شوند) هستند. تقریباً همه مرورگرهای وب مدرن هنگامی‌ که یک آدرس http را که همراه با مقادیر decimal هستند باز می‌کنند، آدرس IP موردنظر را که به‌ صورت decimal است به آدرس IPV4 معادل resolve می‌ کنند.

برای مثال آدرس IP گوگل که به‌ صورت  است همچنین می‌تواند به‌ صورت http://3627732942 و با مقادیر decimal نمایش داده شود.

۱٫ آسیب‌ پذیری NET Framework RCE (با شناسه CVE-2017-8759)

این آسیب‌ پذیری اجرای کد، زمانی که NET Framework. مایکروسافت ورودی‌ های غیرقابل اعتماد را پردازش می‌ کند وجود داشته و به مهاجم امکان کنترل سیستم آلوده را می‌ دهد. این کار با فریب دادن قربانی برای باز کردن یک سند مخرب ساختگی انجام می‌ شود. مایکروسافت برای این آسیب‌ پذیری وصله‌ ای را در ماه سپتامبر منتشر کرد.

۲٫ آسیب‌ پذیری Microsoft Office RCE (با شماره CVE-2017-11882)

این یک آسیب‌ پذیری ۱۷ ساله‌ نقص تخریب حافظه است. این آسیب‌ پذیری به مهاجمان راه دور امکان اجرای کد مخرب بر روی سیستم هدف را می‌ دهد. مایکروسافت این آسیب‌ پذیری را در ماه نوامبر وصله کرد.

۳٫ Dynamic Data Exchange Protocol (DDE exploit)

این روش به هکرها امکان به‌ کارگیری یک ویژگی داخلی microsoft office به نام DDE را برای اجرا کد بر روی دستگاه‌ های هدف می‌‌ دهد.

مهاجمان از این سه آسیب‌ پذیری برای ارائه بدافزار Zyklon با استفاده از پست‌ های الکترونیک phishing استفاده می‌ کنند که به‌ طور معمول پیوست آن یک فایل ZIP است که دارای یک فایل مخرب microsoft office است.

بهترین راه برای محافظت از خود و سازمانتان در برابر چنین حملاتی این است که نسبت به اسناد ناخواسته ای که از طریق ایمیل دریافت می‌ کنید، مشکوک باشید. همچنین همیشه نرم‌ افزارهای خود را به‌ روز نگه دارید.

حتماً مطالعه کنید  خدمتی نوین از رایتل برای افراد تحت پوشش بیمه تامین اجتماعی
4 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *