http://sheedantivirus.ir/1395/03/25/%d8 ... %e2%80%8c/
خرابکاران از روشهای جدیدی برای جلوگیری از شناسایی اسناد ماکرو استفاده میکنند.
موج جدیدی از اسناد مخرب حاوی ماکروهای مبهم از روشهای ضد VM (ماشین مجازی) و ضد جعبه شنی استفاده میکنند تا از بارگیری و شناسایی توسط سامانههای بررسی خودکار جلوگیری کنند.
رهبر تیم تحقیقات امنیتی Zscaler، دیپن دیسای، روز ۷ ژوئن در وبلاگش نوشت که اواخر ماه می، محققان Zscsaler اسناد مخربی را کشف کردند که از توانایی شناسایی محیطهای مجازی از طریق بخش پروندههای اخیر آفیس و از توانایی بررسی مالکیت IP خارجی سوءاستفاده میکنند، تا بتوانند از راه حلهای جعبه شنی جلوگیری کنند.
او در این پست گفت، کد ماکروها بررسی میکنند که آیا تعداد پروندههای اخیر کمتر از یک مقدار تعیین شده است یا خیر و اگر بود به آن خاتمه دهند.
دیسای از طریق مصاحبهای رایانامهای به SCMagazine.com گفت که استفاده از بخش پروندههای اخیر آفیس برای شناسایی محیطهای مجازی روش جدیدی است که بیهوده به نظر میرسد، اما در برابر بسیاری از سامانههای بررسی خودکار موثر و کارآمد است.
دیسای گفت: «نویسنده بدافزار این فرض را اینجا ایجاد کرده است که بیشتر عکسهای لحظهای از محیطهای مجازی پاک پس از نصب یک مایکروسافت آفیس تازه گرفته میشوند که در آنها شاید تنها یک یا دو پرونده برای بررسی چگونگی نصب، باز شدهاند. بدین ترتیب، یک سامانه کاربری استاندارد با برنامههای آفیس باید حداقل ۳ پرونده داشته باشد که به تازگی باز شده باشند.»
مجرمان سایبری پشت این عملیات مخرب از هیچ آسیبپذیری برای آلوده کردن کاربران استفاده نمیکنند بلکه به جای آن از روشهای مهندسی اجتماعی برای فریب کاربران برای فعال کردن ماکروها استفاده میکنند.
دیسای گفت که برای جلوگیری از این نوع حملات، کاربر نهایی باید بیشتر مراقب بوده و هرگز به اسنادی که از او میخواهد ماکروها را برای دیدن محتوا فعال کنند، اعتماد نکند.
او گفت مایکروسافت اعلام کرده است که حملات برپایه ماکروهای مخرب افزایش یافته است و در این راستا روشهایی امنیتی را گرد هم آورده که به مدیران سازمانی اجازه میدهد از روشی سختگیرانه در برابر اسناد غیرقابل اعتماد حاوی ماکروها استفاده کنند.