ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

مایکروسافت آفیس سوژه داغ هکرها شده است

| دوشنبه, ۲۶ فروردين ۱۳۹۸، ۱۰:۱۴ ق.ظ | ۰ نظر

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.

از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.

تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).

یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.

 

حال سوال اینجاست که چطور چنین چیزهایی پیش می‌آید؟

بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.

 

چطور آسیب‌پذیری‌ها پیدا می‌شوند؟

محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.

[1] Catching multilayered zero-day attacks on MS Office 

 

منبع: کسپرسکی آنلاین

 

  • ۹۸/۰۱/۲۶

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">