پاسخ به:آموزش روزانه: ♟ هر روز یک نکته امنیتی ♟_ امتیاز ویژه
شنبه 2 خرداد 1394 6:57 AM
مهاجمین در سال*های اخیر تمایل زیادی به ایجاد پرونده*های RTF و گنجاندن بسته*های نفوذی که قادر به سوء*استفاده از آسیب*پذیری*های Microsoft Office و سایر محصولات مشابه می*باشند، داشته*اند.
درست چند ماه پیش بود که آسیا و خاورمیانه با استفاده از همین روش و سوء*استفاده از آسیب*پذیریِ CVE-2012-0158 در محصولات آفیس، مورد تهدید یک حمله*ی سایبری قرار گرفته بود.
یکی از روش*های استفاده از این آسیب*پذیری طبق گفته*ی مک*آفی، افزودن یک پرونده*ی OLE مخرب با تگ*های object و objocx است، هنگامی که این پرونده توسط برنامه**های آسیب*پذیر باز می*شوند، تروجان*های مخرب در رایانه*ی قربانی نصب خواهند شد.
اما چه روش*هایی برای تحلیل این پرونده*های مشکوک وجود دارد؟
اگر شما عضو تیم تأمین امنیت فناوری* اطلاعات سازمان یا شرکت خود می*باشید و می*بایست قبل از این که پرونده*ای را توزیع کنید آن را بررسی کنید از چه روش*هایی استفاده می*کنید؟
ابزار OfficeMalScanner که توسط Frank Boldewin توسعه پیدا کرده است مجموعه ابزاری است که از طریق واسط خط* فرمان به شما امکان پویش پرونده*های آفیس را می*دهد.
پویش پرونده*های استاندارد آفیس و تشخیص پرونده*های مخرب و در نهایت نمایش هشداری که این پرونده مخرب هست یا خیر از جمله امکانات این نرم*افزار است.
در ادامه ابزار RTFScan که در این بسته*ی نرم*افزاری قرار دارد مورد بررسی قرار گرفته است.
همان*طور که مطرح شد پرونده*ای به نام «6TH WPCT Action Plan from Environment Group.doc» که برای سوء*استفاده از آسیب*پذیری CVE-2012-0158 به صورت پیوست به یک رایانامه به قربانیان ارسال می*شده است را در اختیار داریم، اگرچه این پرونده با پسوند .doc ارسال شده است اما در اصل یک پرونده*ی RTF است.
با ارسال این پرونده به عنوان پارامتر RTFScan، می*توان دریافت که این پرونده حاوی یک پرونده*ی مخرب دیگر است و این پرونده*های مخرب به صورت اجرایی در رایانه*ی قربانی نصب می*شوند و اقدام به ارسال بسته*هایی درون شبکه برای دریافت فرمان از کارگزار کنترل و فرمان*دهی می*کنند.
عکس
http://ashiyane.org/forums/attachmen...4&d=1388002163
البته بیش از ۹۰ پرونده*ی آلوده برای سوء*استفاده از این آسیب*پذیری در حال حاضر در دست*رس است که می*توان به راحتی پویش*های لازم را روی آن*ها انجام داد و نتایج حاصل را تحلیل کرد.
OfficeMalScanner یکی از ساده*ترین گزینه*های پویش این پرونده*هاست و خصوصاً با اضافه شدن قابلیت RTFScan از حدود یک ماه پیش، می*توان انواع بیش*تری از پرونده*های مخرب را شناسایی کرد.
برای دریافت پرونده*های مخرب به منظور تحلیل آن*ها می*توانید به رایانامه*ی info{AT}ASIS{DOT}io درخواست خود را ارسال کنید.
ترکی زبان قربون صدقه رفتنه داریم که: گوزلرین گیلهسین قاداسین آلیم که یعنی درد و بلای مردمک چشات به جونم …!.
