با توجه به اینکه اکسل 5 در سال 1993 جایگزین آن ( اکسل 4 ) شد ، باید یک سایبری واقعی باشید تا استفاده از آن را به یاد آورید . پس از حدودا 30 سال ، مطمئناً همه نسخه به روزتری از نرم افزار های گسترده مایکروسافت را اجرا می کنند . بنابراین چرا ما به اکسل 4 اهمیت می دهیم ؟ به نظر می رسد که سیستم کلان اکسل 4 زنده ، مسلح و خطرناک است .

مشکل این است که ماکروها به سیستم عامل دسترسی کامل دارند ، در حالی که VBA ( که ظاهراً جایگزین ماکروها شده است ) نمی تواند کاری در خارج از صفحه گسترده انجام دهد . و سیستم به خوبی مبهم می شود ، به این معنی که برنامه نویسان بدافزار می توانند اقدامات مخرب ماکروهای خود را پنهان کنند .

تیمی به سرپرستی جیووانی ویگنا ، مدیر ارشد اطلاعات تهدید VMWare ، با حذف لایه های مبهم که معمولاً آن را مخفی نگه می دارد ، یک روش جدید برای شناسایی و پیشگیری از کد مخرب ایجاد کرد . در کنفرانس کلاه سیاه در لاس وگاس ، تیم یک ابزار اجرای نمادین را ارائه داد که آنها SymbExcel می نامند ، بنابراین دیگران می توانند جادو را به اشتراک بگذارند .

اولین قدم بدافزار

ویگنا گفت : " بسیاری از خانواده های بدافزار از ماکرو اکسل 4 به عنوان اولین پایگاه برای دریافت کد مخرب در سیستم استفاده می کنند . ما این را ردیابی کرده ایم. " 

ویگنا توضیح داد ، در حالی که ماکروهای اکسل 4 به طور اسمی با VBA جایگزین شده اند ، اما هنوز در صفحات گسترده ماکرو فعال هستند . تمام قدرت ماکروهای VBA در صفحه گسترده است ، اما ماکروهای اکسل 4 به سیستم عامل دسترسی کامل دارند . " آنها می توانند برنامه ها را شروع کنند ، می توانند دستورات را با استفاده از PowerShell اجرا کنند ، به API ویندوز دسترسی دارند . "

مهمتر از همه ، تابع اکسل 4 کد را از داده جدا نمی کند . می تواند داده ها را بنویسد و سپس آنها را به عنوان کد اجرا کند . بنابراین فقط نگاه کردن به کد به شما اطلاع نمی دهد که ماکرو چه کار خواهد کرد . ویگنا گفت : " ما شاهد ترفندهای فرار هستیم . آنها ممکن است بار واقعی را در یک زمان ایجاد کنند . بسیاری از آنها وابستگی به زمان را اضافه می کنند و روز فعلی را کلید رمزگشایی کد می کنند . در یک روز اشتباه ، شما تنها حیله گری را مشاهده می کنید . "

برنامه نویسان بدافزار همچنین از قدرت اکسل 4 برای تشخیص زمان کار در سندباکس استفاده می کنند . به عنوان مثال ، اگر ماکرو تشخیص دهد که سیستم موردنظر ماوس و صدا ندارد ، احتمالاً یک سندباکس است . این بدافزار از جلوگیری شناسایی هرگونه فعالیت مخرب خودداری می کند .

این تکنیک ها به رمزگذاران بدافزار اجازه می دهد تا کد خود را به طور کامل و به راحتی مبهم کنند . ویگنا خاطرنشان کرد : " ما می خواهیم خنثی سازی خودکار را به طور خودکار انجام دهیم ، اما چگونه می توانیم تمام بررسی های زیست محیطی را انجام دهیم ؟ چگونه می توان ارزش های مناسب را حدس زد ؟ "

اعدام نمادین ، نه برای توده ها

ویگنا گفت: "در اینجا ما اجرای نمادین را معرفی می کنیم." "این تمام اعدام های ممکن را مدل می کند. اگر هر نوع ورودی از خارج وجود داشته باشد ، برای هر احتمال یک حالت جدید ایجاد می کند. " اگر اجرای نمادین به نتیجه جالبی منجر شود ، سیستم می تواند به عقب برگردد و ببیند که چه ورودی هایی مورد نیاز است . 

ارائه توضیحات مفصل درباره اجرای نمادین ادامه یافت و پس از آن سفری کاملاً شگفت انگیز از طریق تجزیه و تحلیل کلان مخرب خاص انجام شد . مطمئناً کارشناسان امنیت سایبری در ( بین ) بینندگان شگفت زده شده بودند . بقیه ما در دنبال کردن کمی مشکل داشتیم . اما اشکالی ندارد . 

این تکنیک بسیار شبیه نسخه کارتونی محاسبات کوانتومی است . در جایی که محاسبات معمولی از ورودی های یکی کار می کند ، اجرای نمادین تمام مقادیر ممکن را در نظر می گیرد . نتیجه یک نوع درخت است که از انتخاب های مختلف رشد می کند . یک عنصر انسانی وجود دارد ، به این دلیل که محققان باید به نتایج جالب توجهی دست پیدا کنند ، مانند این که یک قسمت رمزگذاری شده از کد ناگهان خوانا می شود .

نگران کننده است که چنین فناوری قدیمی هنوز برای اهداف مخرب استفاده می شود . خوشبختانه ، ما یک ارتش از محققان و هکرهای کلاه سفید داریم که برای جلوگیری از چنین حملاتی سخت تلاش می کنند .

منبع : pcmag