ویژگیِ مایکروسافت آفیس، برای ایجاد بدافزار خود-تکرارشونده، مورد بهره‌برداری قرار می‌گیرد

در اوایل ماه جاری یکی از محققان امنیت سایبری، جزئیات یک حفره ی امنیتی را با خبرگزاری ها به اشتراک گذاشت. این حفره ی امنیتی بر تمامی نسخه های مایکروسافت آفیس تاثیر گذاشته و به عاملان مخرب اجازه می دهد تا بدافزار خود-تکرارشونده ی مبتنی بر ماکرو را ایجاد کرده و گسترش دهند.

بدافزار خود-تکرارشونده ی مبتنی بر ماکرو، که اساسا به یک ماکرو اجازه می دهد تا ماکروهای بیشتری را بنویسد، در بین نفوذگران روش جدیدی نیست، اما برای جلوگیری از چنین تهدیدهایی، مایکروسافت در حال حاضر یک سازوکار امنیتی در مایکروسافت آفیس را معرفی کرده که به طور پیش‌فرض این قابلیت را محدود می‌کند. لینو آنتونیو بوئونو، یک محقق امنیتی ایتالیایی که در InTheCyber کار می‌کند، یک روش ساده را ارائه داد که می‌تواند به هر کسی اجازه دهد تا کنترل امنیتی ارائه‌شده توسط مایکروسافت را دور زده و بدافزار خود-تکرارشونده‌ی پنهان‌شده در پشت اسناد جعلی ورد مایکروسافت آفیس را ایجاد نماید.

قسمت بد ماجرا کجاست؟ مایکروسافت هنگامی‌که با این محقق در اکتبر سال جاری تماس برقرار کرد، اینکه این مسئله یک حفره‌ی امنیتی در نظر گرفته شود، را رد کرده و گفت که این ویژگی تنها برای این عملکرد استفاده می‌شود، مانند ویژگی DDE مایکروسافت آفیس که در حال حاضر به‌طور فعال توسط نفوذگرها مورد بهره‌برداری قرار می‌گیرد.

باج‌افزار جدید qkG از روش خود-انتشاری استفاده می‌کند
ترندمیکرو گزارشی در مورد بخشی از باج‌افزار جدید خود-تکرارشونده‌ی مبتنی بر ماکرو با نام «qkG» را منتشر کرد که دقیقا همان ویژگی مایکروسافت آفیس که بوئونو کرده بود، را مورد بهره‌برداری قرار می‌دهد. محققان ترندمیکرو نمونه‌هایی از باج‌افزار qkG را بر روی VirusTotal کشف کردند که توسط فردی از ویتنام بارگذاری شده بود و گفتند که به‌نظر می‌رسد این باج‌افزار، به‌جای آن که یک بدافزار فعال باشد، بیشتر یک پروژه‌ی آزمایشی یا اثبات مفهومی (PoC) می‌باشد.

باج‌افزار qkG به‌صورت Auto Close VBA ماکرو، یک شیوه که هنگام بستن سند توسط قربانی، اجازه‌ی اجرای ماکروی مخرب را می‌دهد، به‌کار گرفته می‌شود. آخرین نمونه از باج‌افزار qkG، درحال حاضر شامل یک آدرس بیت‌کوین با یک یادداشت کوچک باج ۳۰۰ دلاری در قالب بیت‌کوین است. لازم به ذکر است که آدرس بیت‌کوین مذکور تاکنون هیچ پرداختی را دریافت نکرده است، که ظاهرا به این معنی است که این باج‌افزار هنوز برای هدف قرار دادن افراد، مورد استفاده قرار نگرفته است. علاوه بر این، درحال حاضر این باج‌افزار از همان گذرواژه‌ی هاردکد شده استفاده می‌کند: «I’m QkG@PTM17! by TNA@MHT-TT2» که می‌تواند قفل فایل‌های آسیب‌دیده را باز کند.

روش جدیدِ خود-تکرارشونده در بدافزارها، چگونه کار می‌کند؟
مایکروسافت به‌طور پیش‌فرض ماکروهای خارجی (یا غیرقابل اعتماد) را غیرفعال کرده و دسترسی برنامه به مدل شیء در پروژه‌ی VBA آفیس را به‌صورت پیش‌فرض محدود کرده است، همچنین به کاربران پیشنهاد می‌کند هر زمان که لازم باشد، «دسترسی به مدل شیء در پروژه‌ی VBA» را به‌صورت دستی فعال کنند. با فعال کردن تنظیمات «دسترسی مطمئن به مدل شیء در پروژه‌ی VBA»، مایکروسافت آفیس تمام ماکروها را قابل اطمینان دانسته و به‌صورت خودکار هر کد را بدون نشان دادن هشدار امنیتی و یا نیاز به اجازه‌ی کاربر، اجرا می‌کند.

این محقق امنیتی متوجه شد که این تنظیم را می‌توان فقط با ویرایش یک رجیستری ویندوز فعال / غیرفعال کرد، در نهایت ماکروها قادر هستند تا ماکروهای بیشتری را بدون رضایت و آگاهی کاربر، بنویسند. یک فایل مخرب Doc مایکروسافت آفیس ایجاد شده توسط بوئونو نیز همین کار را انجام می‌دهد، در ابتدا رجیستری ویندوز را ویرایش کرده و پس از آن همان بارداده‌ی مخرب (همان کد VBA) را به هر فایل doc که قربانی ایجاد، ویرایش و یا فقط بر روی سیستم خود باز می‌کند، تزریق می‌نماید.

قربانیان به‌طور ناخودآگاه مسئول انتشار هرچه بیشتر بدافزارها هستند
به عبارت دیگر، اگر قربانی به اشتباه به یک فایل مخرب doc اجازه دهد تا ماکروها را یک بار اجرا کنند، سیستم وی برای حملات مبتنی بر ماکرو باز باقی خواهد ماند. علاوه بر این، قربانی نیز با به اشتراک‌گذاری هر فایل آفیس آلوده از سیستم خود، به‌طور ناخودآگاه مسئول انتشار همان کد مخرب به کاربران دیگر خواهد بود. این روش حمله هنگامی‌که یک فایل doc مخرب از یک مخاطب مورد اعتماد که قبلا با چنین بدافزاری آلوده شده است، دریافت می‌کنید، بیشتر نگران‌کننده است، و در نهایت شما به بردار حمله‌ی بعدی این حمله، برای دیگران تبدیل می‌شوید.

اگر چه این روش در دنیای واقعی مورد بهره‌برداری قرار نگرفته است، این محقق معتقد است که می‌تواند برای گسترش بدافزار خطرناک خود-تکرارشونده مورد بهره‌برداری قرار بگیرد که در این صورت، مقابله و پایان دادن به آن دشوار خواهد بود. از آنجایی که این یک ویژگی قانونی است، بسیاری از راه‌حل‌های ضدبدافزاری در مورد اسناد مایکروسافت آفیس با کد VBA هشدار نداده و آن‌ها را مسدود نمی‌کنند، این شرکت فناوری نیز هیچ برنامه‌ای برای انتشار یک وصله، به‌منظور محدود کردن این قابلیت ندارد.
بوئونو پیشنهاد می‌کند: «برای به حداقل رساندن آسیب‌پذیری، این امکان وجود دارد که کلید رجیستری AccessVBOM را از قسمت HKCU به HKLM منتقل کرده و تنها توسط مدیر سیستم قابل ویرایش باشد.» بهترین راه برای محافظت از خود در برابر چنین بدافزارهایی این است که همیشه به اسناد ناخواسته‌ی ارسال شده از طریق ایمیل مشکوک بوده و هرگز بر روی لینک‌های موجود در آن اسناد کلیک نکنید، مگر اینکه منبع دقیق آن را تأیید کنید.
 

منبع