美國聯邦調查局 (FBI) 和網路安全和基礎設施安全域 (CISA) 發佈了惡意軟體分析報告 (AR20-232A),警告一種名為“BLINDINGCAN”的新型惡意軟體。這是由朝鮮國家支援的駭客創建的遠端存取木馬 (RAT),用於對在軍事、國防和航空航太領域營運的美國和海外公司進行一系列攻擊,以獲取機密情報和秘密資訊。
在這篇文章中,我們分析了威脅行為者的隱藏策略,描述了惡意軟體感染媒介及其執行,並提供了防止此類攻擊的解決方案。
感染媒介
該惡意軟體透過網路釣魚活動注入受害者的系統,該活動模仿領先國防和航空航天企業的招聘資訊。受害者被要求打開隨附的 MS Word 檔案,該檔案案最終感染了他們的系統。攻擊場景似乎很熟悉且易於檢測。然而,在這次活動中,朝鮮駭客沒有在附件中使用任何嵌入式惡意軟體或VBA巨集,而是使用 AttachedTemplate 方法在打開並執行時從外部來源下載受感染的檔。可能,外部對象被用來創建多階段攻擊以繞過AV。這種規避攻擊技術並不新鮮,但在規避和緩解檢測方面仍然非常有效。
您可以找到我們的詳細掃描結果 MetaDefender Cloud 這裡。只有 14/38 AV 引擎捕捉到了威脅。
讓我們調查一下下面使用 OLE 物件的 3 個攻擊演示,以了解為什麼這種規避技巧是危險的以及如何防止它。
嵌入物件 VS 巨集 VS 附加範本,它們是如何工作的?
在第一個演示中,我們將惡意軟體作為 OLE 物件插入到 MS Word 檔案中。
讓檔案案掃描者 MetaDefender Cloud即使 MetaDefender Cloud 未配置為提取 Microsoft Office 檔, 則 9 個 AV 成功檢測到嵌入的惡意軟體。如果檔案被掃描,將有更多的引擎檢測到惡意軟體 MetaDefender Core (具有完整配置功能的本地版本),其中啟用了提取。
在第二個演示中,我們使用嵌入式巨集來下載惡意軟體。有 4 個引擎 檢測到威脅。
最後,我們使用 AttachedTemplate 方法將上述惡意軟體替換為外部 eicar 檔。因此,只有 1 個 AV 可以檢測到威脅。
總的來說,在第一個演示中,惡意軟體作為嵌入物件存在於“嵌入”資料夾中,使AV能夠輕鬆檢測。
但是,如果它是第二個和第三個演示中所示的連結物件,則AV將更難檢測到威脅。這些類型的攻擊對基於特徵檢測的防禦有效,因為在受害者打開檔之前不會下載惡意軟體。
對於使用嵌入式巨集的攻擊,一些基於檢測的保護系統可以透過檔案中的惡意代碼來識別惡意軟體。然而,當惡意軟體利用附加的檔案範本從外部來源下載時,唯一的可疑元素是 XML 檔案中的 URL。不幸的是,市場上大多數現有的AV都不具備掃描URL的能力。此外,惡意 URL 可以隨時更改。
解決方案: OPSWAT 深度檔案無毒化 (Deep CDR)
Deep CDR(檔案無毒化) 是一種不依賴於檢測的高階威脅防禦技術。相反,它假定所有檔都是惡意的,並清理和重建每個檔案,確保安全內容的完全可用性。無論哪種類型的 OLE 對象,趨勢Deep CDR(檔案無毒化) 都會將它們標識為潛在威脅物件,並從檔中刪除所有這些物件。因此,上述所有 3 種感染媒介都不再可用。使用者將收到一個具有完整功能的安全檔。
經過處理後Deep CDR ,所有三個樣本都沒有威脅。即使是影像等嵌入式檔案也會遞歸地進行清理,以確保 100% 的威脅防禦。
Deep CDR 確保進入您組織的每個檔都無害,説明您防止零時差攻擊和規避性惡意軟體。我們的解決方案支援 100 多種常見檔案類型的清理,包括 PDF、Microsoft Office 檔、HTML、圖像檔以及許多特定於區域的格式,如 JTD 和 HWP。
聯繫我們 以瞭解更多資訊 OPSWAT 先進的技術,保護您的組織免受日益複雜的攻擊。
參考:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
