2022 年 2 月,惡意軟體研究員 Chris Campbell 發現了一場新型網路釣魚攻擊活動,該活動利用經過特殊設計的 CSV(逗號分隔值)文字檔案,將 BazarBackdoor 木馬植入用戶裝置。在這篇部落格文章中,我們將分析此攻擊情境,並向您展示如何透過Deep CDR™ 技術
(內容解除武裝與重建)來防範這項複雜的攻擊。
攻擊策略
在這次網路釣魚活動中,網路犯罪分子利用了一個 CSV 檔——一個帶分隔符的文字檔,它以表格格式儲存資料並使用逗號分隔值。此檔案類型是在資料庫和應用程式之間交換簡單資料的常用方法。由於CSV檔僅包含沒有可執行代碼的文本,因此許多用戶認為它是無害的,並且無需謹慎即可迅速打開檔案。他們不懷疑該檔案可能是威脅媒介,如果使用支援動態資料交換 (DDE) 的應用程式(如 Microsoft Excel 和 OpenOffice Calc)打開 CSV 檔,惡意軟體可以透過該威脅媒介進入他們的設備。這些應用程式可以執行 CSV 檔案中的公式和函數。威脅作者濫用此 DDE 功能來執行任意命令,這些命令下載並安裝BazarBackdoor特洛伊木馬,以破壞並從粗心的受害者的設備獲得對公司網路的完全存取許可權。與隱藏在 MS Office 檔案中的惡意巨集或 VBA 代碼的流行攻擊方法相比,隱藏在 DDE 檔案中的威脅更難檢測。
仔細檢查檔案,我們可以看到 =WmiC|命令(Windows 管理介面命令)包含在其中一列資料中。如果受害者無意中允許此 DDE 函數運行,它將創建一個 PowerShell 命令。然後,這些命令將打開一個遠端 URL 以下載 BazarLoader,並且 BazarBackdoor 將安裝在受害者的機器上。
How Deep CDR™ 技術如何協助您防禦 DDE 攻擊
您可以在電子郵件附件送達使用者之前,對其進行清理,藉此保護您的網路免受這些複雜的網路釣魚攻擊。秉持「每個檔案都可能構成潛在威脅」的理念,並著重於預防而非僅限於偵測,Deep CDR™ 技術能在維持檔案原有可用性與功能性的同時,移除檔案中的所有動態內容。 Deep CDR™ 技術是MetaDefender OPSWAT真正實踐「零信任」理念的進階威脅防禦平台 —— 六大核心技術之一。
以下是我們使用MetaDefender Core 處理受感染的 CSV 檔案後的清理詳情Core 您亦可參閱MetaDefender Cloud 上的掃描結果)。Deep CDR™ 技術已中和檔案中的公式,因此未產生任何 PowerShell 指令。惡意軟體因此無法被下載。
在類似的攻擊中,威脅作者使用更複雜的公式來逃避檢測。通常,MS Excel 中的公式以等號 (=) 開頭。但是,由於此應用程式還接受以不同符號開頭的公式,例如“=+”或“@”,而不僅僅是“=”,因此 CSV 檔案中的破壞性公式可以是:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
這類公式可能逃過某些常見的 CDR 系統的偵測。然而,Deep CDR™ 技術能夠輕鬆應對此類手法,並輸出乾淨且安全無虞的檔案,從而消除威脅。
進一步了解Deep CDR™ 技術,或諮詢OPSWAT 專家,以發掘最佳的安全解決方案,保護您的企業網路及使用者免受零日攻擊與進階隱蔽型惡意軟體的威脅。
