مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

انتشار شده در تاریخ 1399/01/21 - 00:13

انتشار بدافزار LimeRAT با یک تکنیک رمزگذاری در Excel

مهاجمان در کارزاری جدید با استفاده از یک تکنیک قدیمی رمزگذاری در فایل‌های Excel در حال انتشار تروجان LimeRAT هستند.

به گزارش کارگروه امنیت سایبربان ؛ به نقل از پایگاه اینترنتی ZDNet، بدافزار LimeRAT یک تروجان دسترسی از راه دور (Remote Access Trojan) ساده قابل‌اجرا بر روی ماشین‌های با سیستم‌عامل Windows است. بدافزار قادر است تا با نصب درب‌های پشتی (Backdoor) بر روی ماشین‌های آلوده و رمزگذاری فایل‌های موردنظر خود دستگاه را تحت سیطره شبکه مخرب (Botnet) قرار داده و ابزارهای استخراج‌کننده ارز رمز (Cryptocurrency Miner) را بر روی آن نصب کند.
LimeRAT مبتنی بر ماژول بوده و یکی از ماژول‌های آن امکان انتشار این تروجان را از طریق حافظه‌های USB متصل به دستگاه فراهم می‌کند. LimeRAT در صورت تشخیص اجراشدن بر روی یک ماشین مجازی اقدام به حذف خود می‌کند. (تحلیلگران بدافزار معمولاً از بسترهای مجازی برای کالبدشکافی کدهای مشکوک و مخرب استفاده می‌کنند و برخی بدافزارها به‌منظور ناکام گذاشتن بررسی آن‌ها از تکنیک‌های موسوم به ضدماشین‌مجازی بهره می‌گیرند.) قفل‌کردن صفحه‌نمایش و سرقت مجموعه‌ای از داده‌ها و ارسال آن‌ها به سرور فرماندهی (C۲) با استفاده از رمزگذاری AES از دیگر توانایی‌های LimeRAT است.
در کارزار جدیدی که Mimecast جزییات آن را منتشر کرده کد مخرب LimeRAT در فایل‌های Excel با ویژگی فقط خواندنی (Read-only) جاسازی‌شده و در قالب ایمیل‌های فیشینگ به کاربران ارسال می‌شود. در حقیقت این فایل‌ها بجای قفل شدن، فقط خواندنی بوده و در عین رمزدار بودن از ورود رمز عبور بی‌نیاز هستند.
برای رمزگشایی فایل، به‌محض باز شدن، Excel تلاش می‌کند تا از رمزعبور تزریق‌شده و پیش‌فرض VelvetSweatshop که سال‌ها قبل توسط برنامه‌نویسان Microsoft در نسخ این نرم‌افزار لحاظ شده بود استفاده کند. در صورت موفقیت، فایل رمزگشایی‌شده و ماکروی درون آن، درعین‌حال که فایل همچنان فقط خواندنی است اقدام به اجرای کد مخرب می‌کند.
معمولاً درصورتی‌که رمزگشایی با شکست مواجه شود از کاربر درخواست رمز عبور می‌شود. اما فقط خواندنی بودن فایل موجب صرف‌نظر کردن نرم‌افزار از درخواست رمز عبور و درنتیجه کاهش‌ مراحل آلوده‌سازی سیستم می‌شود. ضمن اینکه به‌غیراز اعلام فقط خواندنی بودن فایل هیچ پنجره هشداری که سبب مشکوک شدن کاربر به ماهیت مخرب فایل گردد نمایش داده نمی‌شود.
تکنیکی که در کارزار اخیر مورداستفاده قرارگرفته ناشی از وجود رمز عبور VelvetSweatshop در نرم‌افزار Excel است که نخستین بار در سال ۲۰۱۳ در جریان یکی از کنفرانس‌های Virus Bulletin علنی شد. به آسیب‌پذیری مربوط به این رمز عبور ایستا، پیش‌فرض و تزریق‌شده شناسه CVE-۲۰۱۲-۰۱۵۸ تخصیص‌یافته است.
درحالی‌که این آسیب‌پذیری مدت‌ها قبل‌ترمیم شده اما شرکت امنیتی Sophos پیش‌تر در گزارش زیر اعلام کرده بود که CVE-۲۰۱۲-۰۱۵۸ برای سال‌ها به‌صورت قابل‌توجهی مورد بهره‌جویی قرار می‌گرفته است.

به گفته Mimecast، مهاجمان با این روش رمزگذاری و مخفی کردن بهره‌جو و کد مخرب سعی در عبور از سد محصولات ضد بدافزاری دارند.

همچنین مایکروسافت از مورد بهره‌جویی قرار گرفتن مجدد آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ مطلع شده است.