به‌دست آوردن کنترل کامل دستگاه با استفاده از نقص موجود در WinRAR

شرکت #‫مایکروسافت، جزئیات مربوط به حمله‌ی ماه مارس را که از آخرین نقص کشف شده‌ی WinRAR ("CVE-2018-20250") استفاده می‌کرد، منتشر کرد. این نقص در ماه‌های اخیر به‌طور گسترده‌ای در میان گروه‌های جرایم اینترنتی و هکرها مورد استفاده قرار گرفته است.
محققان امنیتی در شرکت CheckPoint دریافتند که یک فایل ACE مخرب می‌تواند پس از استخراج توسط WinRAR، بدافزار را در هر مکانی در رایانه‌ی تحت ویندوز قرار دهد. این مکان‌ها شامل پوشه‌ی راه‌اندازی (Startup) ویندوز است؛ جایی که نرم‌افزارهای مخرب به‌طور خودکار در هر بار راه‌اندازی مجدد، اجرا می‌شوند.
یک ماه قبل از گزارش Check Point، توسعه‌دهندگان WinRAR یک نسخه‌ی جدید را منتشر کردند و پشتیبانی از ACE را کاهش دادند؛ زیرا ACE قادر نبود تا یک کتابخانه در WinRAR به نام "Unacev2.dll" که حاوی نقص مسیریابی دایرکتوری بود، به‌روزرسانی کند.
تا پیش از ماه مارس، احتمالاً 500 میلیون کاربر WinRAR در دنیا، یا به نسخه‌ی بدون ACE به‌روزرسانی نکرده بودند یا DLL آسیب‌پذیر را حذف نکرده بودند.
در این حمله، از ایمیل‌های ماحیگیری هدفمند از وزارت امور خارجه‌ی جمهوری اسلامی افغانستان استفاده می‌شد. این ایمیل، منابع، خدمات مخابراتی و نقشه‌های ماهواره‌ای را از «اهداف بسیار خاص» درخواست می‌کرد.
سند ورد ضمیمه‌شده در ایمیل به کاربر پشنهاد می‌دهد تا یک سند دیگر را از یک لینک OneDrive بدون ماکرو دانلود کند (انتخابی که احتمالاً برای جلوگیری از شناسایی ایجاد شده است).
اگر بر روی لینک کلیک شود، یک فایل بایگانی با سند دوم ورد و یک ماکروی مخرب دانلود می‌شود. اگر قربانی هشدار امنیتی مربوط به ماکروها را نادیده بگیرد، بارگیری بدافزار به رایانه انجام می‌شود.
این سند همچنین شامل یک دکمه‌ی «صفحه‌ی بعد» است که یک هشدار جعلی را نشان می‌دهد. این هشدار مربوط به یک فایل خاص DLL ازدست‌رفته است و ادعا می‌کند که رایانه نیاز به راه‌اندازی مجدد دارد.
هنگامی که ماکرو فعال می‌شود، یک اسکریپت PowerShell اطلاعاتی را در مورد سیستم جمع‌آوری می‌کند، آن را با یک شناسه‌ی منحصربه‌فرد نشان می‌دهد و به یک سرور راه دور ارسال می‌کند. این اسکریپت همچنین فرایند کلیدی برای استخراج فایل ACE مخرب با سوءاستفاده از "CVE-2018-20250" است که یک payload به نام "dropbox.exe" را رها می‌کند.
به‌گفته‌ی Check Point، پوشه‌ی "Startup" یک مکان ایده‌آل برای نصب نرم‌افزارهای مخرب است، اما مایکروسافت یادآور می‌شود که ممکن است فایل در پوشه‌های شناخته‌شده یا پیش‌فرض SMB رها شود.
در این حمله، به محض اینکه کاربر سعی در استخراج هر یک از سه فایل "JPEG" موجود در بایگانی ACE را داشته باشد، "dropbox.exe" در پوشه‌ی "Startup" قرار داده می‌شود.
دروغ در مورد یک فایل DLL ازدست‌رفته و نیاز به راه‌اندازی مجدد رایانه به این دلیل است که "CVE-2018-20250" به بدافزار اجازه می‌دهد تا فایل‌ها را در یک پوشه‌ی مشخص‌شده بنویسد، اما نمی‌تواند آن‌را بلافاصله اجرا کند. به همین دلیل است که قراردادن بار در پوشه‌ی Startup ایده‌آل است، زیرا پس از راه‌اندازی مجدد رایانه، راه‌اندازی می‌شود.
"dropbox.exe" عملکردهای مشابهی را به‌عنوان مولفه‌ی مخرب ماکرو انجام می‌دهد و کمک می‌کند تا اطمینان حاصل شود که درپشتی PowerShell در حال اجرا است.
درپشتی PowerShell می‌تواند به یک مهاجم از راه دور اجازه دهد تا کنترل کاملی بر روی دستگاه آسیب‌دیده داشته باشد و آن‌را به یک برنامه‌ی راه‌انداز برای اقدامات مخرب‌تر تبدیل کند. باز کردن و متوقف‌کردن حملات در مراحل اولیه‌ برای جلوگیری از اثرات مخرب بعدی، امری ضروری است.
به‌گفته‌ی ماکروسافت، ماکروی مخرب از تکنیک‌های پیشرفته از جمله موتور اسکریپت خود مایکروسافت، برای جلوگیری از تشخیص استفاده می‌کند.
مرکز ماهر به کاربران توصیه می‌کند که فایل‌های ACE را تحت هیچ شرایطی باز نکنند و برنامه‌ی WinRAR را به‌روزرسانی کنند. باید توجه داشت که مهاجمان می‌توانند برای فریب کاربر، پسوند فایل‌های فشرده را تغییر دهند.