شرح کلی
نوع: PUA (بدافزارهای بالقوه ناخواسته)
درجه تخریب: کم
میزان شیوع: کم
اسامی بدافزار:
PUA.MSOffice.VBA.maldoc
PUA) potentially Unwanted Application) چیست؟
بدافزارهایی که اغلب شامل برنامههای تبلیغاتی (Adware) یا نصب toolbar و یا اهداف دیگر هستند، اما در عمل به اندازه سایر بدافزارها مخرب نیستند. این دسته از بدافزارها ممکن است فعالیتهایی انجام دهند که مورد تأیید یا انتظار کاربر نیست و مخرب باشند ولی برخی از کاربران، فواید استفاده از این قبیل برنامهها را بیشتر از معایبشان میدانند و استفاده از آنها را بنا به اختیار خود بدون اشکال تلقی میکنند.
توضیحات فنی
در ابزارهای مورد استفاده توسط گروههای APT همچون APT-19 و APT10 و مشتقات آنها نظیر TA-410 و سایر گروههای بدافزاری مانند بدافزارهای سرقت اطلاعات Emotet و همچنین اکثر موارد Cobalt Strike، شروع حمله اغلب با فایل آفیس با ماکروی دارای اجرای خودکار صورت میگیرد.
استفاده از این متدها معمولا به کمک مهندسی اجتماعی برای دور زدن sandbox و در دو صورت زیر انجام میپذیرد:
- حالت ساده، که با کمک این سیگنالها بدافزار به محض باز شدن سند و در صورت فعال بودن ماکرو اجرا میشود.
- ماکرو در قالب template در سرور خارجی ذخیره شده و به کمک آپدیت external template یا به کمک آسیبپذیریهای مرتبط به بارگذاری ماژول خارجی مانند CVE-2017-0199 و مشتقات آن در فایل tmp بارگذاری شده و اجرا میشود.
روش مقابله و پاکسازی سیستم
✅ به منظور پیشگیری از آسیبها و از آنجایی که بنا به کارکرد مشتریان معمولا از کار انداختن کامل ماکرو امکانپذیر نمیباشد، بارگذاری Template به صورت خودکار با توابع زیر محدود میگردد.
* AutoExec
* AutoOpen
* Document_Open
* Workbook_Open
✅ آنتی ویروس پادویش این نوع تهدید را تحت عنوان PUA.MSOffice.VBA.maldoc شناسایی و از اجرای آن جلوگیری میکند. در صورتی که از سلامت فایلها و رفتار کارکنان خود اطمینان دارید میتوانید این امضا را استثنا کنید.