美國聯邦調查局 (FBI) 和網路安全和基礎設施安全域 (CISA) 發佈了惡意軟體分析報告 (AR20-232A),警告一種名為“BLINDINGCAN”的新型惡意軟體。這是由朝鮮國家支援的駭客創建的遠端存取木馬 (RAT),用於對在軍事、國防和航空航太領域營運的美國和海外公司進行一系列攻擊,以獲取機密情報和秘密資訊。
在這篇文章中,我們分析了威脅行為者的隱藏策略,描述了惡意軟體感染媒介及其執行,並提供了防止此類攻擊的解決方案。
感染媒介
該惡意軟體透過網路釣魚活動注入受害者的系統,該活動模仿知名國防和航空航天企業的招聘資訊。受害者被要求打開隨附的 MS Word 檔案,該檔案案最終感染了他們的系統。攻擊場景似乎很熟悉且易於檢測。然而,在這次活動中,朝鮮駭客沒有在附件中使用任何嵌入式惡意軟體或VBA巨集,而是使用 AttachedTemplate 方法在打開並執行時從外部來源下載受感染的檔。可能,外部對象被用來創建多階段攻擊以繞過AV。這種規避攻擊技術並不新鮮,但在規避和緩解檢測方面仍然非常有效。
您可以找到我們的詳細掃描結果 MetaDefender Cloud 這裡。只有 14/38 AV 引擎捕捉到了威脅。
讓我們調查一下下面使用 OLE 物件的 3 個攻擊演示,以了解為什麼這種規避技巧是危險的以及如何防止它。
嵌入物件 VS 巨集 VS 附加範本,它們是如何工作的?
在第一個演示中,我們將惡意軟體作為 OLE 物件插入到 MS Word 檔案中。
讓檔案案掃描者 MetaDefender Cloud即使 MetaDefender Cloud 未配置為提取 Microsoft Office 檔, 則 9 個 AV 成功檢測到嵌入的惡意軟體。如果檔案被掃描,將有更多的引擎檢測到惡意軟體 MetaDefender Core (具有完整配置功能的本地版本),其中啟用了提取。
在第二個演示中,我們使用嵌入式巨集來下載惡意軟體。有 4 個引擎 檢測到威脅。
最後,我們使用 AttachedTemplate 方法將上述惡意軟體替換為外部 eicar 檔。因此,只有 1 個 AV 可以檢測到威脅。
總的來說,在第一個演示中,惡意軟體作為嵌入物件存在於“嵌入”資料夾中,使AV能夠輕鬆檢測。
但是,如果它是第二個和第三個演示中所示的連結物件,則AV將更難檢測到威脅。這些類型的攻擊對基於特徵檢測的防禦有效,因為在受害者打開檔之前不會下載惡意軟體。
對於使用嵌入式巨集的攻擊,一些基於檢測的保護系統可以透過檔案中的惡意代碼來識別惡意軟體。然而,當惡意軟體利用附加的檔案範本從外部來源下載時,唯一的可疑元素是 XML 檔案中的 URL。不幸的是,市場上大多數現有的AV都不具備掃描URL的能力。此外,惡意 URL 可以隨時更改。
解決方案:OPSWAT Deep Content Disarm and Reconstruction Deep CDR™ 技術)
Deep CDR™ 技術是一項先進的威脅防禦技術,其運作原理並非仰賴偵測。相反地,該技術預設所有檔案皆具惡意,並對每個檔案進行淨化與重建,以確保檔案在內容安全的前提下仍能完全正常運作。無論 OLE 物件的類型為何,Deep CDR™ 技術皆會將其識別為潛在威脅物件,並將其全部從檔案中移除。因此,上述三種感染途徑皆將失效。使用者將獲得一個功能完整且安全的檔案。
經過 Deep CDR™ 技術處理後,這三個樣本均已無任何威脅。即使是圖片等嵌入式檔案,也會經過遞迴式清理,以確保 100% 防範威脅。
Deep CDR™ 技術可確保進入貴組織的每個檔案均無害,協助您防範零日攻擊及具有隱蔽性的惡意軟體。我們的解決方案支援對超過100 種常見檔案類型的淨化處理,包括 PDF、Microsoft Office 檔案、HTML、圖像檔案,以及許多地區性特定格式,例如 JTD 和 HWP。
聯繫我們 以瞭解更多資訊 OPSWAT 先進的技術,保護您的組織免受日益複雜的攻擊。
參考:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
