Mark-of-the-Web bypass

عادة، عند محاولة المستخدم قراءة مستند Office الذي تم إرساله بالبريد الإلكتروني أو تنزيله من موقع ويب، يفتحه Microsoft Office في الوضع المحمي.ويقوم بذلك باستخدام آلية تسمية ملفات التنزيل من مواقع الإنترنت غير الموثوق بها (MOTW)، وهي إحدى آليات الحماية الافتراضية في نظام التشغيل Windows.حيث يحدِّد الملفات التي تظهر على حاسوبك من الإنترنت، بحيث تعرف التطبيقات مصدرها ويمكن أن تلفت انتباه المستخدم إلى الخطر المحتمل.ومع ذلك، فإن الاعتماد المطلق على فعالية آلية التحذير هذه قد يكون فكرة سيئة لأن العديد من المهاجمين بدأوا في الآونة الأخيرة في استخدام أساليب لتجاوز آلية استغلال التنسيق الخاص بالصفحات والتحكم بها. فعلى سبيل المثال، عندما كان خبراؤنا يدرسون مؤخرًا أدوات مجموعة BlueNoroff (التي يُعتقد أنها جزء من مجموعة Lazarus)، اكتشفوا أنها تستخدم حيلًا جديدة لخداع نظام التشغيل.

كيفية تجاوز BlueNoroff لآلية استغلال التنسيق الخاص بالصفحات والتحكم بها

تعمل آلية تسمية ملفات التنزيل من مواقع الإنترنت غير الموثوق بها على النحو التالي: بمجرد تنزيل أحد المستخدمين (أو البرامج) لملف من شبكة الإنترنت، يضيف نظام الملفات NTFS سمة إليه “من الإنترنت”. ولكن هذه السمة لا تُكتسب دائمًا. عند تنزيل أرشيف، تحصل جميع الملفات الموجودة بداخله على هذه السمة. ومع ذلك، فإن الأرشيف بعيد عن الطريقة الوحيدة لنقل الملف بشكل غير مباشر.

بدأ المهاجمون الذين يقفون خلف مجموعة BlueNoroff بتجربة استخدام أنواع ملفات جديدة لإرسال مستندات ضارة. في بعض الأحيان، يستخدمون تنسيق ‎.iso، الذي يُستخدم عادة لتخزين صور القرص البصري. الخيار الآخر هو ملف ‎.vhd الذي يحتوي عادةً على محرك أقراص ثابت افتراضي. وبعبارة أخرى، فإنهم يخفون الجزء التنفيذي الهجومي الحقيقي — وهو عبارة عن مستند مزيف ونص ضار — داخل الصورة أو محرك الأقراص الافتراضي.

يمكن العثور على وصف فني أكثر تفصيلًا لأدوات وطرق BlueNoroff المُحدَّثة، بالإضافة إلى مؤشرات الاختراق، في منشور خبرائنا على مدونة Securelist.

من هم BlueNoroff وما الذي يهاجمون من أجله

في بداية هذا العام، كتبنا بالفعل عن حملة SnatchCrypto التي استهدفت سرقة العملات المشفرة. بناءً على عدد من العلامات، يعتقد باحثونا أن مجموعة BlueNoroff هي المجموعة نفسها التي تقف وراء ذلك. ويهدف النشاط الملاحظ اليوم أيضًا في المقام الأول إلى تحقيق مكاسب مالية. في الواقع، ظلت المرحلة الأخيرة من الهجوم كما هي — قام المجرمون بتثبيت مدخل سري للنظام على الحاسوب المصاب.

وقد سجلت مجموعة BlueNoroff العديد من النطاقات التي تحاكي شركات رؤوس الأموال والشركات الاستثمارية، بالإضافة إلى البنوك الكبرى. بالنظر إلى أسماء البنوك، وكذلك بالاطلاع على وثائق الخداع التي يستخدمها المهاجمون، فإنهم مهتمون حاليًا في المقام الأول بالأهداف التي تتحدث اليابانية. ومع ذلك، تم العثور على ضحية واحدة على الأقل من المجموعة في الإمارات العربية المتحدة. كما تظهر الممارسة، تهتم مجموعة BlueNoroff في المقام الأول بالأعمال المتعلقة بالعملات المشفرة، بالإضافة إلى الشركات المالية.

كيف تحافظ على أمانك؟

أولًا وقبل كل شيء، من الجدير التخلي عن تصور أن آليات الحماية الافتراضية المضمنة في نظام التشغيل كافية للحفاظ على سلامة شركتك. يتعذر على آلية تسمية ملفات التنزيل من مواقع الإنترنت غير الموثوق بها الحماية من فتح موظفٍ لملف استلمه من الإنترنت وتشغيل برنامج نصي ضار. حتى لا تقع شركتك ضحية لهجمات مجموعة BlueNororff ومجموعة APT المماثلة، يوصي خبراؤنا بما يلي:

• تثبيت حلول الأمان الحديثة على جميع الأجهزة قيد العمل — حيث ستمنع تشغيل البرامج النصية من الملفات الضارة؛
• إبقاء موظفيك على دراية بالتهديدات الإلكترونية الحديثة — التدريب المنظم تنظيمًا صحيحًا سيساعدهم على عدم الوقوع في فخ المهاجمين؛
• باستخدام حلول الأمان من الفئة EDR، وإذا لزم الأمر، باستخدام خدمات الاستجابة والكشف المُدار — ستسمح بالكشف في الوقت المناسب عن النشاط الضار في شبكة الشركة وتساعد على إيقاف الهجوم قبل وقوع ضرر حقيقي.