حمله با استفاده از اسناد آلوده که عمدتا از طریق رایانامه‌ها ارسال می‌شود در حملات هدفمند بسیار مورد استفاده قرار می‌گیرند

۵ دی ۱۳۹۶

حمله از طریق اسناد آلوده

در بسیاری از حملات برای ورود به یک سازمان از اسناد آلوده استفاده می‌شود. یکی از حملاتی که از اسناد آلوده به خوبی استفاده کرد Wilted Tulip بود. Wilted Tulip از سه روش برای ایجاد اسناد آلوده استفاده کرد. در این مستند به بررسی روش اول خواهیم پرداخت.

استفاده از آسیب‌پذیری به شماره مرجع CVE-2017-0199
گنجاندن اشیا OLE در اسناد
استفاده از ماکروهای مخرب

اکسپلویت کردن CVE-2017-0199

آسیب‌پذیری مایکروسافت به شماره مرجع CVE-2017-0199 اجازه می‌دهد تا یک کاربر از راه دور بتواند از طریق اسناد آلوده کدهای مورد نظرش را اجرا نماید. این آسیب‌پذیری در طیف وسیعی از محصولات مایکروسافت وجود داشت.

در ۲۶ مارس ۲۰۱۷، رایانامه‌ای آلوده از طرف یکی از کارمندان وزارت امور خارجه قبرس شمالی ارسال شد. اما در اصل این رایانامه توسط مهاجمین ارسال شده بود. این رایانامه به فهرستی از موسسات دولتی در چندین کشور فرستاده شد. این سازمان‌ها عمدتا مربوط به وزارت امور خارجه بودند. محققان گمان می‌کنند در این فهرست تنها عده‌ای مورد نظر مهاجمین بوده‌اند. گیرندگان این رایانامه‎ها در دامنه‌های زیر بوده‌اند.

hemofarm.co.yu

mfat.govt.nz

mfa.gr

mfa.gov.lv

mfa.gov.ua

mfa.go.th

mfa.gov.bn

mfa.ee

sbcglobal.net

mfa.is

athens.mfa.gov.il

riga.mfa.sk

amfam.com

emfa.pt

mfa.gov.il

mfa.gov.mk

bu.edu

us.mufg.jp

cyburguide.com

newdelhi.mfa.gov.il

mofa.gov.vn

mfa.gov.sg

mfa.gov.tr

post.mfa.uz

mfa.am

mfa.gov.by

beijing.mfa.gov.il

mofat.go.kr

mfa.no

رایانامه‌ای آلوده از طرف یکی از کارمندان وزارت امور خارجه قبرس شمالی ارسال شد این رایانامه به فهرستی از موسسات دولتی در چندین کشور ارسال شد.

فایل آلوده‌ای که پیوست شده بود. نام این فایل IRAN_NORTH-KOREA_Russia 20170420.docx” بود.

نحوه‌ی آلوده سازی از طریق این سند آلوده

حمله با استفاده از فایل‌های آلوده - Whilted Tulip

این سند از CVE-2017-0199 استفاده می‌کند و یک فایل rtf را از update.microsoft-office[.]solutions/license.doc بارگذاری می‌نماید.

این فایل rtf یک اسکریپت VBA را از مسیر زیر بارگذاری می‌نماید:

http://38.130.75[.]20/check.html

یک Colbat Strike Stager راه‌اندازی می‌نماید که با aaa.stage.14043411.email.sharepoint-microsoft[.]co ارتباط برقرار می‌نماید

در مورد دیگری، سند “The North Korean weapons program now testing USA range.docx” در Virus Total که متعلق به اسرائیل است بارگذاری می‌گردد.

http://38.130.75[.]20/check.html

این فایل یک سند rtf را از آدرس زیر دریافت می‌کند.

http://update.microsoft-office[.]solutions/license.doc

بعد از آن یک VBA کدی اجرا می‌شود که در اثر آن Colbat Strike Stager راه‌اندازی می‌گردد.

http://38.130.75[.]20/error.html

یک Colbat Strike Stager راه‌اندازی می‌نماید که با aaa.stage.14043411.email.sharepoint-microsoft[.]co ارتباط برقرار می‌نماید.

در مورد دیگری، سند “The North Korean weapons program now testing USA range.docx” در Virus Total که متعلق به اسرائیل است بارگذاری می‌گردد.

این فایل یک سند rtf را از آدرس زیر دریافت می‌کند.

http://update.microsoft-office[.]solutions/license.doc

بعد از آن یک VBA کدی اجرا می‌شود که در اثر آن Colbat Strike Stager راه‌اندازی می‌گردد.

http://38.130.75[.]20/error.html

این نمونه از طریق DNS با gsvr-static[.]co ارتباط برقرار می‌نماید.

مستندات آلوده‌ی دیگری به نام‌های “omnews.doc” و “pictures.doc” از طریق آدرس‎‌های زیر بارگذاری می‌شوند.

http://fetchnews-agency.news-bbc[.]press/en/20170/pictures.doc

http://fetchnews-agency.news-bbc[.]press/omnews.doc

این فایل‌ها از آدرس‌های زیر VBS بارگذاری می‌نمایند.

http://fetchnews-agency.news-bbc[.]press/pictures.html

این VBS یک Cobalt strike stagerرا راه‌اندازی می‌کند این stager با a104-93-82-25.mandalasanati[.]info/iBpa ارتباط برقرار می‌نماید.

یک Cobalt Strike beacon بارگذاری می‌شود و با a104-93-82-25.mandalasanati[.]ins1w-amazonaws.office-msupdate[.]solutionsfo/iBpa ارتباط برقرار می‌نماید.

شرکت آرمان داده پویان ارائه‌دهنده‌ی سنجش آسیب‌پذیری (تست نفوذ) و ارزیابی‌های امنیتی با پیروی از متدولوژی‌ها و استانداردهای مطرح

کمپین‌ها

حمله از طریق اسناد آلوده

اکسپلویت کردن CVE-2017-0199

نحوه‌ی آلوده سازی از طریق این سند آلوده

تازه ترین ها