به انجمن خوش آمدید

شما به عنوان یوزر میهمان وارد شده اید. جهت استفاده از تمامی امکانات لطقا وارد حساب کاربری خود شوید.

vortex team

انتشار بدافزار FlawedAmmyy

1 ارسال در این موضوع قرار دارد

FlawedAmmyy

Please login or register to see this attachment.

 

گروه نفوذگران TA505 با سواستفاده از قابلیت SettingContent-ms در سیستم عامل Windows 10 در حال آلوده‌ سازی دستگاه اهداف خود به بدافزار FlawedAmmyy هستند.

از لحاظ فنی، SettingContent-ms نوعی فایل با قالب و ساختار استاندارد محسوب می‌شود که مایکروسافت آن را در Windows 10 معرفی کرد. با ساخت و بکارگیری چنین فایل‌هایی می‌توان به بخش‌های مختلف Control Panel در Windows دسترسی پیدا کرد.

شکل زیر نمونه‌ای از یک فایل SettingContent-ms را نشان می‌دهد.

Please login or register to see this attachment.

همانطور که در شکل بالا هم قابل مشاهده است، فایل‌ های SettingContent-ms ساختاری در قالب XML دارند که تنظیمات مختلفی را در اختیار کاربر قرار می‌دهند.

هر چند هدف مایکروسافت از معرفی SettingContent-ms صرفا فراهم نمودن روشی جدید و منعطف برای دسترسی به اجزای Control Panel بوده اما مدتی است که مهاجمان سایبری به آسیب‌پذیر بودن این نوع فایل‌ها به تبدیل شدن به ابزاری برای اجرای مطمئن و بی‌دردسر کدهای مخرب بر روی دستگاه کاربران پی‌برده‌اند.

از نکات قابل توجه، عدم نمایش هر گونه پیام هشدار در زمان اجرای پروسه‌هایی است که در فایل SettingContent-ms به آنها اشاره شده است. از آن بدتر هم این که، کد مخرب اجرا شده توسط SettingContent-ms به‌سادگی از سد سیستم‌های دفاعی Windows 10 از جمله Attack Surface Reduction عبور می‌کند.

به گزارش شرکت مهندسی شبکه گستر، با وجود تمامی این ویژگی‌های ایده‌آل برای مهاجمان، باز شدن یک فایل با پسوند ناآشنای SettingContent-ms توسط کاربر چندان محتمل به‌نظر نمی‌رسد. بنابراین در جدیدترین نمونه، نفوذگران TA505 اقدام به تزریق فایل SettingContent-ms در فایل PDF و پیوست نمودن آن به هرزنامه‌هایی نموده‌اند که در کارزاری عظیم در حال ارسال شدن به کابران هستند.

در نمونه PDF، در زمان باز شدن Adobe Reader پیام هشداری در خصوص اجرای SettingContent-ms نمایش داده می‌شود.

dlf2.png.08c90cfc1513d7b975ece98313285156.png

اما اگر کاربر بر روی دکمه OK کلیک کند فرمان مجاز PowerShell از طریق کد درج شده در SettingContent-ms اجرا شده و در ادامه بدافزار FlawedAmmyy که پیش‌تر در این خبر به عملکرد آن پرداخته شده بود اجرا می شود.

علاوه بر بکارگیری از ضدویروس به‌روز و قدرتمند، آموزش کاربران در پرهیز از باز نمودن پیوست‌های ایمیل مشکوک نقشی اساسی در ایمن نگاه داشتن سازمان از گزند این نوع حملات دارد.

توضیح اینکه نمونه های بررسی شده در این خبر با نام های زیر شناسایی می شوند:

McAfee

RDN/Generic Downloader.x –   

 RDN/Generic.RP –   

GenericRXGE-PE!344423B53D04 –   

Bitdefender

Trojan.PDF.Downloader.AU –   

Trojan.GenericKD.31101999 –   

Trojan.Agent.DBPE –   

Sophos

Troj/PDFDl-BX –   

Troj/DwnLdr-VUQ –   

Mal/Generic-S –   

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر