انتشار بدافزار FlawedAmmyy، این بار توسط فایل PDF

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

انتشار بدافزار FlawedAmmyy، این بار توسط فایل PDF
q755

گروه نفوذگران TA505 با سواستفاده از قابلیت SettingContent-ms در سیستم عامل Windows 10 در حال آلوده‌سازی دستگاه اهداف خود به بدافزار FlawedAmmyy هستند.

از لحاظ فنی، SettingContent-ms نوعی فایل با قالب و ساختار استاندارد محسوب می‌شود که مایکروسافت آن را در Windows 10 معرفی کرد. با ساخت و بکارگیری چنین فایل‌هایی می‌توان به بخش‌های مختلف Control Panel در Windows دسترسی پیدا کرد.

شکل زیر نمونه‌ای از یک فایل SettingContent-ms را نشان می‌دهد.

q756

همان‌طور که در شکل بالا هم قابل مشاهده است، فایل‌های SettingContent-ms ساختاری در قالب XML دارند که تنظیمات مختلفی را در اختیار کاربر قرار می‌دهند.

هر چند هدف مایکروسافت از معرفی SettingContent-ms صرفا فراهم نمودن روشی جدید و منعطف برای دسترسی به اجزای Control Panel بوده اما مدتی است که مهاجمان سایبری به آسیب‌پذیر بودن این نوع فایل‌ها به تبدیل شدن به ابزاری برای اجرای مطمئن و بی‌دردسر کدهای مخرب بر روی دستگاه کاربران پی‌برده‌اند.

از نکات قابل توجه، عدم نمایش هر گونه پیام هشدار در زمان اجرای پروسه‌هایی است که در فایل SettingContent-ms به آنها اشاره شده است. از آن بدتر هم این که، کد مخرب اجرا شده توسط SettingContent-ms به‌سادگی از سد سیستم‌های دفاعی Windows 10 از جمله Attack Surface Reduction عبور می‌کند.

با وجود تمامی این ویژگی‌های ایده‌آل برای مهاجمان، باز شدن یک فایل با پسوند ناآشنای SettingContent-ms توسط کاربر چندان محتمل به‌نظر نمی‌رسد. بنابراین در جدیدترین نمونه، نفوذگران TA505 اقدام به تزریق فایل SettingContent-ms در فایل PDF و پیوست نمودن آن به هرزنامه‌هایی نموده‌اند که در کارزاری عظیم در حال ارسال شدن به کابران هستند.

در نمونه PDF، در زمان باز شدن Adobe Reader پیام هشداری در خصوص اجرای SettingContent-ms نمایش داده می‌شود.

q757

اما اگر کاربر بر روی دگمه OK کلیک کند فرمان مجاز PowerShell از طریق کد درج شده در SettingContent-ms اجرا شده و در ادامه بدافزار FlawedAmmyy که پیش‌تر در این خبر به عملکرد آن پرداخته شده بود اجرا می شود.

پیش تر نیز نفوذگران TA505 از روشی جدید برای انتشار بدافزار مخرب FlawedAmmyy بهره گرفته بودند

علاوه بر بکارگیری از ضدویروس به‌روز و قدرتمند، آموزش کاربران در پرهیز از باز نمودن پیوست‌های ایمیل مشکوک نقشی اساسی در ایمن نگاه داشتن سازمان از گزند این نوع حملات دارد.