اخبار داخلی آرمان داده پویان

مقالات

حمله از طریق اسناد آلوده

حمله از طریق اسناد آلوده

در بسیاری از حملات برای ورود به یک سازمان از اسناد آلوده استفاده میشود. یکی از حملاتی که از اسناد آلوده به خوبی استفاده کرد Wilted Tulip بود. Wilted Tulip از سه روش برای ایجاد اسناد آلوده استفاده کرد. در این مستند به بررسی روش اول خواهیم پرداخت.

  • استفاده از آسیب‌پذیری به شماره مرجع CVE-2017-0199
  • گنجاندن اشیا OLE در اسناد
  • استفاده از ماکروهای مخرب

اکسپلویت کردن CVE-2017-0199

آسیبپذیری مایکروسافت به شماره مرجع CVE-2017-0199 اجازه میدهد تا یک کاربر از راه دور بتواند از طریق اسناد آلوده کدهای مورد نظرش را اجرا نماید. این آسیبپذیری در طیف وسیعی از محصولات مایکروسافت وجود داشت.

در ۲۶ مارس ۲۰۱۷، رایانامهای آلوده از طرف یکی از کارمندان وزارت امور خارجه قبرس شمالی ارسال شد. اما در اصل این رایانامه توسط مهاجمین ارسال شده بود. این رایانامه به فهرستی از موسسات دولتی در چندین کشور فرستاده شد. این سازمانها عمدتا مربوط به وزارت امور خارجه بودند. محققان گمان میکنند در این فهرست تنها عدهای مورد نظر مهاجمین بودهاند. گیرندگان این رایانامهها در دامنههای زیر بودهاند.

hemofarm.co.yu
mfat.govt.nz
mfa.gr
mfa.gov.lv
mfa.gov.ua
mfa.go.th
mfa.gov.bn
mfa.ee
sbcglobal.net
mfa.is
athens.mfa.gov.il
riga.mfa.sk
amfam.com
emfa.pt
mfa.gov.il
mfa.gov.mk
bu.edu
us.mufg.jp
cyburguide.com
newdelhi.mfa.gov.il
mofa.gov.vn
mfa.gov.sg
mfa.gov.tr
post.mfa.uz
mfa.am
mfa.gov.by
beijing.mfa.gov.il
mofat.go.kr
mfa.no


رایانامه‌ای آلوده از طرف یکی از کارمندان وزارت امور خارجه قبرس شمالی ارسال شد این رایانامه به فهرستی از موسسات دولتی در چندین کشور ارسال شد.


فایل آلوده‌ای که پیوست شده بود. نام این فایل IRAN_NORTH-KOREA_Russia 20170420.docx” بود.

نحوه‌ی آلوده سازی از طریق این سند آلوده

حمله با استفاده از فایل‌های آلوده - Whilted Tulip

این سند از CVE-2017-0199 استفاده می‌کند و یک فایل  rtf را از update.microsoft-office[.]solutions/license.doc بارگذاری مینماید.

این فایل rtf یک اسکریپت VBA را از مسیر زیر بارگذاری مینماید:

http://38.130.75[.]20/check.html

یک Colbat Strike Stager راهاندازی مینماید که با aaa.stage.14043411.email.sharepoint-microsoft[.]co  ارتباط برقرار مینماید

در مورد دیگری، سند The North Korean weapons program now testing USA range.docx” در Virus Total که متعلق به اسرائیل است بارگذاری میگردد.

http://38.130.75[.]20/check.html

این فایل یک سند rtf را از آدرس زیر دریافت میکند.

http://update.microsoft-office[.]solutions/license.doc

 بعد از آن یک VBA کدی اجرا میشود که در اثر آن Colbat Strike Stager راهاندازی میگردد.

http://38.130.75[.]20/error.html

 

 یک Colbat Strike Stager راهاندازی مینماید که با aaa.stage.14043411.email.sharepoint-microsoft[.]co  ارتباط برقرار مینماید.

در مورد دیگری، سند The North Korean weapons program now testing USA range.docx” در Virus Total که متعلق به اسرائیل است بارگذاری میگردد.

این فایل یک سند rtf را از آدرس زیر دریافت میکند.

http://update.microsoft-office[.]solutions/license.doc

بعد از آن یک VBA کدی اجرا میشود که در اثر آن Colbat Strike Stager راهاندازی میگردد.

http://38.130.75[.]20/error.html

 این نمونه از طریق DNS با gsvr-static[.]co  ارتباط برقرار مینماید.

مستندات آلودهی دیگری به نامهای omnews.doc” و “pictures.docاز طریق آدرسهای زیر بارگذاری میشوند.

http://fetchnews-agency.news-bbc[.]press/en/20170/pictures.doc

http://fetchnews-agency.news-bbc[.]press/omnews.doc

 این فایلها از آدرسهای زیر VBS بارگذاری مینمایند.

http://fetchnews-agency.news-bbc[.]press/pictures.html

این VBS یک  Cobalt strike stagerرا راهاندازی میکند این stager با a104-93-82-25.mandalasanati[.]info/iBpa ارتباط برقرار مینماید.

یک Cobalt Strike beacon بارگذاری میشود و با a104-93-82-25.mandalasanati[.]ins1w-amazonaws.office-msupdate[.]solutionsfo/iBpa ارتباط برقرار مینماید.

شرکت آرمان داده پویان ارائه‌دهنده‌ی سنجش آسیب‌پذیری (تست نفوذ) و ارزیابی‌های امنیتی با پیروی از متدولوژی‌ها و استانداردهای مطرح

تعداد بازدید: 202


تازه ترین ها