سوءاستفادهی بدافزار ASRUEX از آسیبپذیریهای قدیمی جهت آلودهسازی اسناد PDF و WORD
طبق گزارشهای Trend Micro، نوع جدیدی از فعالیتهای دربپشتی #Asruex مشاهده شده است که #آسیبپذیریهای قدیمی در Microsoft Office و Adobe Reader و Acrobat 9.x را هدف قرار میدهد.
Asruex ابتدا در سال 2015 کشف شد و قبلاً با جاسوسافزار DarkHotel همراه بود. DarkHotel گروه شناختهشدهای است که بازدیدکنندگان تجاری هتل را از طریق شبکهی WiFi هتل هدف قرار میدهد. به نظر میرسد بدافزار Asruex علاوه بر قابلیتهای دربپشتی، میتواند دو آسیبپذیری قدیمی با شناسههای CVE-2012-0158 و CVE-2010-2883 را نیز هدف قرار دهد.
آسیبپذیری CVE-2012-0158، یک نقص بحرانی سرریز بافر در یک مؤلفهی ActiveX در نسخههای 2003، 2007 و 2010 است که سوءاستفاده از آن منجر به اجرای کد از راه دور میشود.
آسیبپذیری CVE-2010-2883، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که میتواند برای تزریق کد به فایلهای PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیبپذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گستردهای مورد سوءاستفاده قرار گرفته بود.
با توجه به اینکه ممکن است محققان فایلها را برای آلودهسازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیتهای دربپشتی آن باشد، این قابلیتهای منحصربهفرد آلودهسازی ، شناسایی حملات را به طور بالقوه دشوارتر میسازد.
به گفتهی Trend Micro، این نوع از بدافزار Asruex به گونهای طراحی شده است که سازمانهایی که نسخههای وصلهی نشدهی Adobe Reader 9.x تا پیش از 9.4 و نسخههای Acrobat 8.x تا پیش از 8.2.5 را در Windows و Mac OS X استفاده میکنند، هدف قرار میدهد.
Asruex برای آلودهکردن ماشینها، از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده میکند. این بدافزار، برای انتشار از درایوهای قابل جابجایی و درایوهای شبکه استفاده میکند.
نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملین پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود.
اگر این فایل PDF توسط نسخههای قدیمیتر Adobe Reader و Adobe Acrobat باز شود، آلودهساز را در پسزمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده میشود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیبپذیری CVE-2010-2883 در حین افزودن فایل میزبان سوءاستفاده میکند، استفاده میشود. این بدافزار شامل چندین ویژگی ضد اشکالزدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system32\kernel32.dll، آن را تشخیص میدهد و همچنین با بازبینی نامهای رایانه، نام کاربر، توابع صادرشده توسط ماژولهای بارگذاریشده، پروسههای در حال اجرا و رشتههای خاص در نامهای دیسک، بررسی میکند که آیا در یک محیط جعبه شنی اجرا میشود یا خیر. پس از گذراندن این بررسیها، دربپشتی بدافزار نصب میشود و سرقت اطلاعات میتواند آغاز شود.
فایل PDF همچنین یک DLL که مناسب قابلیتهای آلودهسازی و دربپشتی بدافزار است، به حافظهی پردازش ویندوز تزریق میکند.
آسیبپذیری CVE-2012-0158 از سوی دیگر به مهاجمان اجازه میدهد کد دلخواه را از طریق یک سند Word یا وبسایت، از راه دور اجرا کنند. فرایند آلودهسازی این سند مشابه فایلهای PDF است.
این بدافزار علاوه بر فایلهای PDF و اسناد Word، فایلهای اجرایی را نیز آلوده میسازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری میکند و آن را به صورت بخش .EBSS خودش، ضمیمه میکند. بنابراین میتواند هم آلودهساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا نماید.
این نوع بدافزار به دلیل استفاده از آسیبپذیریهایی که بیش از 5 سال پیش کشف شدهاند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشاندهندهی آن است که مجرمان سایبری این بدافزار که آن را ابداع کردهاند، میدانند هنوز کاربرانی هستند که نسخههای جدیدتری از نرمافزار Adobe Acrobat و Adobe Reader را وصله یا بهروزرسانی نکردهاند. لذا، وجود چنین بدافزارهایی نیاز سازمانها به استفاده از بهترین شیوهها برای بهروزرسانی و وصلهکردن نرمافزارهای دارای آسیبپذیریهای بحرانی را تأکید میکنند.