SophosLabs: Διερευνώντας την δημοτικότητα και τις εφαρμογές του εργαλείου Ancalog, του γνωστού document exploit generator
Τα έγγραφα, και η “εκμετάλλευση” τους από κυβερνοεγκληματίες, είναι μία γνωστή μέθοδος διάδοσης κακόβουλου λογισμικού στις κοινότητες malware. Μία θεωρία είναι ότι οι απατεώνες χρησιμοποιούν “παγιδευμένα” έγγραφα, επειδή τα θύματα είναι ευκολότερο να πειστούν να ανοίξουν ένα έγγραφο που βρίσκεται συνημμένο σε κάποιο μηνυμα ηλεκτρονικού ταχυδρομείου από κάποιο εκτελέσιμο αρχείο.
Έγγραφα του Word, του Excel ή έγγραφα PDF που περιέχουν τα αποκαλούμενα exploits -εκμεταλλεύσιμα κενά ασφαλείας που είναι ενεργές παγίδες- έχουν το πρόσθετο τέχνασμα ότι δεν απαιτούν από τα θύματα τους να ενεργοποιήσουν χειροκίνητα μακροεντολές, όπως συμβαίνει συχνά στην περίπτωση των downloaders VBA.
Σε ένα πρόσφατο τεχνικό έγγραφο της, η SophosLabs εξερευνά τους λόγους που βλέπουμε να κυκλοφορεί όλο και περισσότερο malware που εκμεταλλεύεται έγγραφα, και διερευνά την μακροχρόνια δημοτικότητα του document exploitation generator με την ονομασία Ancalog, που είναι ευρέως διαθέσιμος στο εμπόριο.
Αξίζει να επισημανθεί ότι πολλές από τις ευπάθειες και τα τρωτά σημεία που αποτελούν αντικείμενα εκμετάλλευσης του Ancalog έχουν διορθωθεί ή κλείσει με patches εδώ και πολλά χρόνια, με αποτέλεσμα οι επιτιθέμενοι να διαπιστώνουν ότι οι προσπάθειες τους έχουν φτωχά αποτελέσματα. Παρ ‘όλα αυτά, η ευκολία με την οποία μπορούν να δημιουργηθούν παγιδευμύνα έγγραφα με το kit που έχει την ονομασία Ancalog έχει κάνει το συγκεκριμένο εργαλείο ιδιαίτερα δημοφιλές για πολλές κυβερνοεγκληματικές οργανώσεις στη Ρωσία και στη Νιγηρία, έχοντας ως στόχους χρήστες σε χώρες της Ασίας και της Αφρικής.
Εγκληματικές ομάδες στον κυβερνοχώρο χρησιμοποιούν την συγκεκριμένη μέθοδο σταθερά τα τελευταία δύο χρόνια, και δεν υπάρχουν μέχρι στιγμής ενδείξεις ότι σκοπεύουν να σταματήσουν την εγκληματική τους δραστηριότητα σύντομα. Η άμεση διαθεσιμότητα των εργαλείων δημιουργίας exploits στον cyber-underground χώρο έχει ανοίξει την “exploitation” ων εγγράφων σε ένα ευρύ φάσμα εγκληματιών, και το Ancalog είναι το πιο δημοφιλές από αυτά τα εργαλεία σήμερα.
Φυσικά, η εξάρτηση των εγκληματιών από εμπορικά εργαλεία όπως είναι το Ancalog, που βασίζονται σε παλαιότερα exploits αποτελεί σημαντικό μειονέκτημα για τους απατεώνες, αλλά και πλεονέκτημα για όλους τους άλλους. Το Ancalog δεν χρησιμοποιεί zero-day exploits ή ακόμα και exploits που θα μπορούσαν να χαρακτηριστούν νέα. Ακόμα και τα πλέον σύγχρονα exploits, είναι τουλάχιστον ενός χρόνου και τα πιο γνωστά και επικύνδυνα κενά ασφαλείας και ευπάθειες έχουν κλείσει και διορθωθεί από το 2010 και το 2012. Με άλλα λόγια,αν εφαρμόσετε τα υπάρχοντα patches για το Microsoft Office, οι επιθέσεις που βασίζονται στο Ancalog δεν θα έχουν κάποια επίπτωση.
Διαβάστε το έγγραφο από την έρευνα της SophosLabs για να αποκτήσετε μία βαθύτερη κατανόηση του Ancalog και του τρόπου που χρησιμοποιείται από τους εγκληματίες στον κυβερνοχώρο για να πραγματοποιήσουν επιθέσεις χρησιμοποιώντας exploits σε έγγραφα.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.