بينما كان الكثيرون يستمتعون بإجازتهم الصيفية، كان مجرمو الإنترنت يعملون بجد، ونحن في MetaDefender كنا كذلك أيضًا. فقد أبقتنا سلسلة من الثغرات الأمنية والهجمات الأخيرة مشغولين بإضافة عمليات كشف جديدة إلى قائمتنا التي لا تنفك تتزايد.
دعنا نتحقق من بعض الأمثلة.
في 8 يوليو ، أفاد فريق BlackBerry تهديد Research and Intelligence أن أحد ممثلي التهديد ربما استهدف محادثات عضوية الناتو باستخدام ثغرة أمنية مماثلة ل CVE-2017-0199. في 11 يوليو ، كشفت Microsoft عن ثغرة أمنية في يوم الصفر تم تتبعها ك CVE-2023-36884. ثم ، في 28 أغسطس ، أكد مركز تنسيق فريق الاستجابة لطوارئ الكمبيوتر الياباني (JPCERT / CC) أن المهاجمين استخدموا تقنية جديدة في يوليو.
التنكر أنواع الملفات
ما الذي كان مثيرا للاهتمام حول هذه الحوادث المحددة؟ - استخدم جميعهم ملفات مخفية في أنواع مستندات أخرى لتسليم حمولات ضارة - دمية متداخلة من الذباب تهدف إلى تجنب اكتشافها.
إنها أمثلة على تقنية MITRE T1036.008 (نوع ملف التنكر) باستخدام ملفات متعددة اللغات تحتوي على أنواع ملفات مختلفة متعددة. يعمل كل نوع ملف بشكل مختلف بناء على التطبيق الذي ينفذها ، وهي طريقة فعالة لإخفاء البرامج الضارة والقدرات الضارة. كما أنها تجسد تقنية MITRE T1027.009 ، حيث يقوم المهاجمون بتضمين حمولات ضارة داخل الملفات المتنكرة.
لحسن الحظ، تُتيح هذه التقنيات فرصة مثالية لإثبات قدرة MetaDefender على التعرف بسهولة على الملفات الخبيثة المقنعة!
هجوم يوليو
في هذه الحملة ، استخدم المهاجمون استغلال RTF. قاموا بصياغة مستند Microsoft Word ، والذي يحتوي على مستند RTF مضمن ، تم تحميله بواسطة Microsoft Office كعلاقة مستند. وتشير وثيقة إطار العمل الإقليمي إلى عنصر داخلي للمكتب كما هو مبين في الشكل 1.
في Filescan Sandbox، نقوم بتحليل جميع علاقات المستندات، بما في ذلك العلاقات الخارجية التي تنفذها مستندات Office (الشكل 3). ولكن في هذه القطعة الأثرية ، هناك شيء آخر يجب اكتشافه حول هذه السلسلة.
يتضمن مستند RTF من الحملة كائن OLE معرف بالداخل في سلسلة سداسية عشرية ، والتي يمكن قراءتها بنص عادي بسبب طبيعة ملفات RTF. يسلط الشكل 3 الضوء على هذا العنصر في ملف RTF المستخرج. تظهر أيضا عناوين URL التي يشير إليها كائن OLE ، والتي يصل إليها Microsoft Office أخيرا لجلب وتنفيذ المرحلة التالية من الحمولة.
من المقابلة Filescan Sandbox تحليل هذا الملف الضار ، نجد ملف RTF المستخرج ، جنبا إلى جنب مع مؤشرات التسوية المقابلة والاكتشافات المختلفة التي أشار إليها المحرك ، كما هو موضح في الشكلين 4 و 5.
هجوم أغسطس/آب
في هذا الهجوم ، يتم تحديد الملف الضار على أنه ملف PDF بواسطة الماسحات الضوئية الأخرى لأنه يتضمن توقيع ملف PDF وبنية تدفق الكائنات ، كما لوحظ في الشكلين 6 و 7. ومع ذلك، الملف وظيفية فقط إذا تم فتحه كملف Office أو .mht. إذا تم فتحه كملف PDF ، فإنه يلقي أخطاء.
هذا الهجوم ممكن لأن أحد تدفقات PDF حدد مجموعة من كائنات MIME، بما في ذلك كائن MHTML أو MHT، والذي سيقوم بتحميل كائن ActiveMime مضمن في تنسيق MIME. تسمح هذه الملفات بتنفيذ كود الماكرو. كما أن رأس كائن MIME يحتوي على قيمة نوع محتوى ".jpg" مزيفة مع محتوى مشوش قليلاً، على الأرجح لتجنب الكشف بواسطة أدوات Yara.
كما لوحظ في الشكل 7 ، على الرغم من كونه ملف PDF من الناحية الفنية ، يقوم Microsoft Office بتحميل هذا الكائن وتنفيذ التعليمات البرمجية الضارة الإضافية.
ومن المثير للاهتمام أنه في حين أن العديد أدوات PDF أدوات في تحليل هذا الملف، أدوات أداة Didier Steven's tool olevba تحدد معلومات كود الماكرو من ملف PDF، على الرغم من أنها تستخدم عادةً لتحليل مستندات Office. بالإضافة إلى ذلك، يكتشف Sandbox Filescan Sandbox ويشير إلى وجود كائن ActiveMime مضمن ومعلومات VBA واستخراج جميع كائنات MIME.
ها أنت ذا. هذا ما Filescan قام فريق Labs في إجازتنا الصيفية. لقد كشفنا عن الملفات المتخفية لتحديد الحمولات الضارة المخفية تحتها وأضفنا المزيد من الاكتشافات إلى قائمتنا المتزايدة باستمرار.
تواصل معنا إذا كنت ترغب في تحليل الملفات للتحقق مما إذا كان المهاجمون يخفون حمولات ضارة في ملفات تبدو شرعية أو يستخرجون حمولات مضمنة داخل ملفات أخرى؛ يمكنك زيارة موقع مجتمع MetaDefender أو تجربة خدمة الفحص المخصصة للمؤسسات التي نقدمها.
