ذكاء البرامج الضارة

تجاوز معلومات تدفق البيانات البديلة لوحدات الماكرو الضارة ومعرف المنطقة

March 27, 2022

دقيقة

جدول المحتوى

مثال H2

يعد ماكرو VBA أحد أكثر ميزات Microsoft Excel التي يتم إساءة استخدامها على نطاق واسع، ويستخدمها الخصوم للحصول على موطئ قدم أولي في الشبكة المستهدفة. يحدد تطور التقنية المستخدمة لنشر الحمولة اكتشاف كود الماكرو. ومع ذلك، لا يزال السبب الرئيسي للمخاطر هو الطبيعة المتأصلة لتطبيقات Office لتقديم تنفيذ وحدات الماكرو.

في الآونة الأخيرة، اتخذت Microsoft موقفًا جريئًا نقل وعطل وحدات الماكرو من العمل في المستندات التي تم تنزيلها من الإنترنت. تغطي هذه المدونة بعض التقنيات التي يستخدمها الخصوم لتجاوز هذه القيود وتنفيذ وحدات ماكرو ضارة في المستندات التي تم تنزيلها من الإنترنت.

ما هي وحدات الماكرو وكيف يتم استخدامها بشكل ضار؟

وحدات الماكرو هي برامج ذات استخدام خاص تُستخدم لأتمتة العمليات داخل تطبيق أكبر أو جزء من البرنامج. تتكون وحدات الماكرو من مجموعة من التعليمات والعمليات المعبر عنها بلغة ماكرو (مثل Visual Basic للتطبيقات أو VBA) أو لغة برمجة تقليدية. عند تشغيل مشغل معين، سيقوم البرنامج تلقائيًا بتنفيذ هذه الأوامر. تقوم الجهات الفاعلة في مجال التهديد بكتابة تعليمات برمجية ضارة بنفس لغة الماكرو وإخفائها في المستندات وجداول البيانات الموزعة عبر الإنترنت. يليه يتم تنشيط الكود بمجرد فتح الملف.

معرف المنطقة والأمان

كيف يحدد Windows مصدر الملفات؟

في هجوم التصيد الاحتيالي، تتم معالجة البيانات التي يتم تنزيلها من الإنترنت من خلال تطبيق متصفح يعمل على Windows. تقوم المتصفحات بإنشاء دفق بيانات بديل باسم «معرف المنطقة،» كلما تم تنزيل هذه البيانات و «معرف المنطقة» تمت إضافته إلى هذا الدفق، الذي يمثل المنطقة التي نشأ منها الملف. يتم سرد معرفات المنطقة في الجدول أدناه. لمزيد من المعلومات حول مناطق أمان URL، راجع هذه المقالة.

منطقةمعرف المنطقةالجهاز المحلي 0 الإنترانت المحلي 1 المواقع الموثوق بها 2 الإنترنت 3 المواقع المقيدة 4

يمكننا استخدام PowerShell للاستعلام عن بيانات تدفق Zone.Identifier للحصول على معرف ZoneID المعين. كما هو موضح في الصورة أدناه، يمكن استرداد الكثير من المعلومات حول الملف، وخاصة معلومات المصدر مثل عنوان URL وتفاصيل المضيف. يحتوي الملف الموضح في الصورة على ZoneID من 3. وبالإشارة إلى الجدول المذكور أعلاه، فإن ID 3 تعني «الإنترنت». يشير هذا إلى أنه تم تنزيل malicious.doc من الإنترنت.

This indicates that the malicious.doc is downloaded from the internet. — يشير هذا إلى أنه تم تنزيل malicious.doc من الإنترنت.

تستفيد تطبيقات الأمان على Windows من بيانات معرف المنطقة وتستخدم ميزة «Mark of the Web» لتحديد الملفات المحلية من الملفات التي تم تنزيلها. فيما يلي بعض الآليات التي تستفيد من ميزة «Mark of the Web» لاتخاذ الإجراءات:

شاشة ويندوز الذكية
عرض محمي في أوفيس سويت
حارس التطبيق
حماية البيانات غير الموثوق بها في Visual Studio

في المثال أعلاه، عندما يتم فتح malicious.doc مع ZoneID 3 على Word، يتم فتحه في طريقة العرض المحمية كما هو موضح أدناه:

تنفيذ وحدات ماكرو الإنترنت

عند استخدام التنسيقات غير NTFS (نظام ملفات التكنولوجيا الجديدة) كحاويات للاحتفاظ بملف ضار، لن يتمكن المستعرض من إنشاء ADS في الملفات داخل الحاوية. في مثل هذه الحالات، يفشل المتصفح في تعيين ZoneID لملفات المهاجم، مما يتيح تنفيذ الماكرو.

يعد تنسيق «.iso» خيارًا شائعًا للحاوية للملفات الضارة. وهذه الملفات المستخرجة من ISO لا تحتوي على منطقة. دفق المعرف، الذي يتسبب في قيام Windows بمعاملته كملف محلي.

توضح الصورة أدناه أن ملف ISO الذي تم تنزيله يستخدم علامة الويب ويتم تعيين ZoneID 3.

downloaded ISO file uses the Mark of the Web and is assigned ZoneId 3 — يستخدم ملف ISO الذي تم تنزيله علامة الويب ويتم تعيين ZoneID 3

عندما يتم استخراج الملفات من ISO إلى القرص، فإنها لا تحتوي على أي بيانات تعريف للمنطقة كما هو موضح في الصورة التالية. ومن ثم عند الاستعلام عن بيانات البث، يطرح PowerShell خطأ يفيد بأنه لا يمكن العثور على كائن الدفق. التحقق من تصنيف الملف الضار كملف محلي من قبل النظام.

Hence when stream data is queried, PowerShell throws an error stating that the stream object cannot be found. — ومن ثم عند الاستعلام عن بيانات البث، يطرح PowerShell خطأ يفيد بأنه لا يمكن العثور على كائن الدفق.

عندما يتم فتح مستند ضار تم استخراجه من ISO في Word، فإن ميزة ProtectedView لا تنبه المستخدم. وبالتالي، ستوفر Protected View الحماية بدون وضع الحماية، مما يسمح للبرامج الضارة بتنفيذ غير مقيد على النظام.

When a malicious document extracted from an ISO is opened in Word, the ProtectedView feature doesn’t alert the user — عندما يتم فتح مستند ضار تم استخراجه من ISO في Word، فإن ميزة ProtectedView لا تنبه المستخدم

الخاتمة

يستغل الخصوم ميزات وحدات ماكرو VBA لتجاوز تقنيات معرف المنطقة التي تستخدمها تطبيقات Office. ويقومون بتنفيذ وحدات ماكرو ضارة في المستندات التي يفشل المتصفح في تحديدها كملفات من الإنترنت، فقط لتجاوز الإجراءات الأمنية وإصابة الشبكات المستهدفة. يمكن أن تسمح مراقبة تدابير التخفيف التالية للمستخدمين بمنع مثل هذه الهجمات: