تمرکز پژوهش‌گران روی تحول ماکروهای مخرب Excel 4.0

بیش از پنج ماه است که پژوهش‌گران امنیتی Lastline تحول ماکروهای مخرب Excel 4.0 را تحت نظر گرفته‌‌اند و سرعت بالایی در این تحولات مشاهده میکنند. اکسل به‌عنوان بخش اصلی ابزارهای تولیدی بسیاری از سازمان‌ها راه را برای حملات فیشینگ باز می‌کند که در این حملات قربانیان فریب داده می‌شوند تا ماکروهای موجود در اسناد مخرب را که جای پای محکمی برای مهاجمان فراهم می‌کند، فعال کنند.

Lastline طی پژوهش‌های ۵ ساله‌ی خود هزاران نمونه‌ی مخرب مشاهده کرده است که به امواجی تبدیل شده‌اند که تصویر کاملی از چگونگی پیشرفت و تکامل این تهدید از نظر پیچیدگی ارائه می‌دهد. این شرکت امنیت سایبری بیان می‌کند که روش‌های شناسایی‌شده شامل قابلیت فرار از تجزیه و تحلیل خودکار سندباکس و شناسایی مبتنی‌بر امضا و حتی تجزیه و تحلیل دستی پژوهش‌گران است. هر موج جدید روش‌های جدیدی را معرفی می‌کند و روی موج قبلی بنا شده است، اما روش‌های قدیمی همچنان در نمونه‌های فعلی هم مورد استفاده قرار می‌گیرند.

موج‌های جدید هر یک یا دو هفته یک بار پدیدار می‌شوند و هر یک پیشرفته‌تر از موج قبلی است که با روش‌های جدید عملکرد موج قبلی را توسعه می‌دهد. به نظر می‌رسد که این نمونه‌ها توسط یک ابزار یا مولد اسناد ایجاد شده‌اند و بسیار شبیه یکدیگر هستند. Lastline  بیان می‌کند که نویسندگان بدافزار، عمدتاً روی دور زدن و مبهم‌سازی تمرکز کرده‌اند و عملکرد اصلی نمونه‌های مشاهده‌شده را تغییر نداده‌اند: آن‌ها برای بارگیری و اجرای یک بار داده مانند یک فایل EXE یا DLL ایجاد شده‌اند.

Lastline خاطرنشان می‌کند که ایجاد این ماکروها بسیار ساده و آسان است، بنابراین تغییر دادن آن‌ها برای دور زدن شناسایی مبتنی‌بر امضا آسان است. شرکت‌های امنیتی به احتمال زیاد به دلیل عدم وجود راه‌حل‌هایی برای ارزیابی صحیح و parse کردن فرمت و ساختار نحوه‌ی ذخیره‌سازی این ماکروها در اسناد اکسل، در شناسایی این تهدید دچار مشکل هستند.

موج اول اسناد اکسل مخرب حاوی یک ماکروی مخفی بود که بار داده را به همراه یک تصویر نگه‌داری می‌کند تا قربانی را برای فعال کردن کد ماکرو و قابلیت انجام بررسی‌های سندباکس و OS فریب دهد. پژوهش‌گران خاطرنشان کردند که ماکروهای Excel 4.0 قابلیت‌های نامحدودی به نویسندگان بدافزار می‌دهند، به‌خصوص که به‌سرعت در حال پیشرفت وتحول هستند و شرکت‌های امنیتی تلاش می‌کنند تا با آن‌ها همگام شوند. Lastline  نتیجه‌گیری می‌کند که ماکروهای Excel 4.0 همچنان ارزش و اهمیت خود را برای مهاجمان اثبات می‌کنند و یک روش قابل اطمینانی برای دریافت کد آن‌ها به‌منظور اجرا در یک هدف ارائه می‌دهند. در بسیاری از محیط‌ها، کاربرگ‌های اکسل دارای ماکرو، برای اهداف تجاری قانونی استفاده می‌شوند، بنابراین تحلیل‌گران و شرکت‌های امنیتی مجبور می‌شوند که به‌طور مداوم ابزارها و امضاها را به‌روزرسانی کنند، زیرا حملات همچنان در حال تحول هستند.

منبع

پست‌های مشابه

Leave a Comment

18 − پنج =