استفاده از فایل های Power Point Slide Show برای نصب بد افزار

استفاده از فایل های Power Point Slide Show برای نصب بد افزار

سه شنبه, ۲۴ مرداد, ۱۳۹۶ ساعت ۱۵:۲۳

آسیب پذیری آفیس، پس از تهدید مهاجمین به استفاده از آسیب پذیری در حملات Live و آلوده کردن کامپیوترها توسط تروجان با دسترسی راه دور، توسط مایکروسافت در ماه آوریل وصله شد. این آسیب پذیری با شناسه CVE-2017-0199 منتشر شد و در اصل آسیب پذیری اجرای کد راه دور صفر روزه ای بود و در حملات اسناد فایل متنی Rich (RTF) و در واسط OLE برای تحویل بدافزار تروجان DRIDEX banking، استفاده شده بود.

در حملات اخیر، از آسیب پذیری CVE-2017-0199 و از PowerPoint Slide Show برای تحویل بد افزار استفاده شده است. سند مخرب به عنوان الحاقیه ای به ایمیل spear-phishing، تحویل داده شده است.

پیام ایمیل یک درخواست سفارش می باشد ولی هیچ سند تجاری به آن الحاق نشده است. چیزی که به ایمیل الحاق شده، فایل PPSX مخرب می باشد که CVE-2017-8570 (آسیب پذیری آفیس مایکروسافت – خطایی که توسط توسعه دهنده toolkit ایجاد شده است) را پوشش می دهد.

یکبار که فایل اجرا می شود، پاورپوینت اسکریپت moniker را آپدیت کرده و داده مخرب راه دور را با استفاده از جنبه های انیمیشنی Power Point Show، اجرا می کند. بعد از بهره برداری موفقیت آمیز از آسیب پذیری CVE-2017-0199، فایلی به نام logo.doc را دانلود می کند. این فایل در واقع فایل xml با کدهای جاوا اسکریپت می باشد. جاوا اسکریپت دستور Powershell برای دانلود و اجرای فایل RATMAN.EXE از کارگزار دستور و کنترل C&C اجرا می نماید. این فایل یک نسخه تروجانی از ابزار دسترسی راه دور گزینشی و قانونی (RAT) REMCOS می باشد. یک بار که این فایل اجرا گردد، به مهاجم اجازه می دهد تا دستورات راه دور را بر روی سیستم کاربر اجرا نماید. ابزار می تواند برای دانلود و اجرای دستورات بر روی ماشین آلوده، log کردن کلیدهای تایپی و فعالیت های صفحه نمایش و برای ضبط صدا و تصویر با استفاده از میکروفن و وب کم سیستم، استفاده گردد. ابزار تروجانی از یک محافظگر .NET نامشخص برای حفاظت بیشتر و ممانعت از تجزیه و تحلیل بیشتر و همچنین پوشش ارتباط رمزشده، استفاده می نماید.


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

8 − چهار =