نگاهی به اسناد مخرب حاوی بدافزار بانکی

با گسترش حملات فیشینگ و کشف بدافزارهای پیوست شده در آن ها توسط محصولات آنتی ویروس، مجرمان اینترنتی همواره در صدد استفاده از روش های جدید برای پنهان کردن محموله مخرب خود هستند. از جمله بدافزار هایی که اخیرا با استفاده ازین روش خبرساز شده میتوان به dridex اشاره کرد.
در این نوشتار نگاهی داریم به روشی قدیمی که مجددا محبوب شده و توسط مجرمان اینترنتی در حال استفاده است.

مقدمه :
بسیاری از محصولات شرکت مایکروسافت، از جمله نرم افزار Office، بخشی با عنوان Visual Basic for Applications (VBA) دارند. فایل های حاوی کدهای VBA به فایل های Macro معروف هستند. کدهای VBA سبب سرعت بخشیدن به اموری می شوند که روالی تکرار شونده دارند.
بدافزارنویسان حدود یک دهه قبل بطور گسترده ای از فایل های Macro برای انتشار بدافزارهای خود سوء استفاده می کردند. همین موضوع سبب شد که شرکت مایکروسافت در نسخه های ۲۰۱۰ و ۲۰۱۵ نرم افزار Office امکان Macro را به صورت پیش فرض غیرفعال کند.

مسئله :
 Visual Basic ماکرو هایی را برای اجرای فایل ها در هنگام باز شدن اسناد آفیس در نظر گرفته است . این ماکروها کلید یافتن کدهای مخرب هستند . اگرچه هدف از ایجاد آن ها برای مقاصد مشروع بوده است ، اما همیشه باید وجود خطر را در نظر داشت . از ماکروهای موجود برای Word میتوان به AutoOpen() و Document_Open() و برای Excel به Auto_Open() و Workbook_Open() اشاره کرد .

نفوذ به شبکه های صنعتی

امروزه با گسترش علوم رایانه ایی و استفاده از آن در بخش های مهم دنیای ما ، نظارت و کنترل فرایندهای تولیدی واحدهای صنعتی نیز از این قافله عقب نمانده و استفاده انواع فناوری های پیشرفته IT در آن ها باعث پیشرفت های بسیاری شده است . اما علاوه بر استفاده از مزیت های تلفیق فناوری های کنترل صنعتی و IT چالش های آن ها نیز قابل توجه است . همان گونه که فناوری های مبتنی بر IT دارای ضعف های امنیتی بسیاری هستند ، استفاده از آن ها در قلمرو صنعتی دلیل بر کاهش این آسیب پذیری ها نیست و این فناوری  ها همچنان مشکلات موجود در معماری شان را با خود حمل میکنند.

همچنین در کشور ما توجه زیادی به این بخش نشده و از آنجا افراد شاغل در این زمینه از دانش کافی در مورد امنیت شبکه برخوردار نیستند ، میتواند در دراز مدت مشکلات زیادی را برای صنایع داخلی به همراه داشته باشد .

چند روز پیش خبری روی خروجی خبرگزاری رویترز قرار گرفت که خبر از حمله سایبری ایالات متحده به زیر ساخت های هسته ایی جمهوری خلق کره داشت . به گفته رویترز این حمله همانند حملات سایبری به ایران بوده اما بطور اختصاصی برای کره شمالی طراحی شده بود . اما نکته جالب این جاست که بر خلاف ایران ، حمله آن ها به کره شمالی ناموفق بوده است !

از آن جا که در کشورمان شاهد ارائه ده ها و یا شاید صدها محصول بومی امنیت سایبری توسط متخصصان داخلی هستیم ، باید دید که مشکل از کجاست که چنین بدافزاری پس از دو سال فعالیت در شبکه های کشور و ورود به نیروگاه های اتمی ، توسط یک شرکت گمنام درجه چندم در خارج از کشور شناسایی شده و متخصصان داخلی از شناسایی آن عاجز بودند .

البته در این مقاله در مورد امنیت در این شبکه ها صحبت نمیکنیم و طبق روال همیشگی مجله از منظر نفوذ این مبحث را مورد مطالعه قرار میدهیم .