Az amerikai Szövetségi Nyomozó Iroda (FBI) és a Kiberbiztonsági és Infrastrukturális Biztonsági Ügynökség (CISA) közzétette a rosszindulatú szoftverek elemzéséről szóló jelentést (AR20-232A), amely egy új, "BLINDINGCAN" nevű rosszindulatú szoftverre figyelmeztet. Ez egy távoli hozzáférési trójai (RAT), amelyet észak-koreai államilag támogatott hackerek hoztak létre, hogy támadássorozatot hajtsanak végre a katonai védelmi és űrkutatási szektorban működő amerikai és tengerentúli vállalatok ellen bizalmas hírszerzési és titkos információkért.
Ebben a blogban elemezzük a fenyegető szereplő rejtett taktikáját, leírjuk a rosszindulatú fertőzési vektort és annak végrehajtását, és megoldást kínálunk az ilyen típusú támadások megelőzésére.
Fertőzés vektor
A rosszindulatú programot egy adathalász kampányon keresztül juttatták be az áldozatok rendszerébe, amely vezető védelmi és űrkutatási vállalatok álláshirdetéseit utánozza. Az áldozatokat arra kérték, hogy nyissanak meg egy csatolt MS Word dokumentumot, amely végül megfertőzte a rendszerüket. A támadási forgatókönyvek ismerősnek és könnyen felismerhetőnek tűnnek. Ebben a kampányban azonban az észak-koreai hackerek nem használtak beágyazott malware-t vagy VBA makrót a csatolt dokumentumon belül, hanem az AttachedTemplate módszert használták, hogy megnyitáskor egy külső forrásból töltsenek le egy fertőzött fájlt, és azt hajtsák végre. Lehetséges, hogy a külső objektumot egy többlépcsős támadás létrehozására használták az AV-k megkerülése érdekében. Ez a kitérő támadási technika nem új, de még mindig nagyon hatékony a felismerés megkerülésére és mérséklésére.
A MetaDefender Cloud által végzett részletes vizsgálat eredményétitt találja. Csak 14/38 AV motor észlelte a fenyegetést.
Vizsgáljunk meg 3 támadási bemutatót az OLE-objektumok felhasználásával az alábbiakban, hogy megértsük, miért veszélyes ez a kitérő trükk, és hogyan lehet megelőzni.
Beágyazott objektum VS makró VS csatolt sablon, hogyan működnek?
Az első demóban egy MS Word dokumentumba OLE-objektumként rosszindulatú programot illesztettünk be.
A dokumentum MetaDefender Cloud általi átvizsgálása után, annak ellenére, hogy a MetaDefender Cloud nincs beállítva a Microsoft Office fájlok kinyerésére, 9 AV sikeresen észlelte a beágyazott rosszindulatú programot. Több motor fogja észlelni a rosszindulatú programot, ha a dokumentumot a MetaDefender Core (a teljes konfigurációs képességekkel rendelkező helyben telepített verzió) vizsgálja, ahol az extrahálás engedélyezve van.
A második demóhoz egy beágyazott makrót használtunk a rosszindulatú szoftver letöltéséhez. A fenyegetést 4 motor észlelte.
Végül a fenti malware-t egy külső eicar fájlra cseréltük az AttachedTemplate módszer segítségével. Ennek eredményeképpen csak 1 AV tudta észlelni a fenyegetést.
Az első demókban a kártevő beágyazott objektumként nagyjából a "beágyazások" mappában található, ami lehetővé teszi az AV-k számára a könnyű észlelést.
Ha azonban egy összekapcsolt objektumról van szó, ahogy a második és a harmadik demóban látható, akkor az AV-k sokkal nehezebben észlelik a fenyegetést. Az ilyen típusú támadások hatékonyak a szignatúra-alapú védelemmel szemben, mivel a rosszindulatú szoftver csak akkor töltődik le, amikor az áldozatok megnyitják a fájlt.
Beágyazott makrót használó támadások esetén egyes észlelésen alapuló védelmi rendszerek a fájlban található rosszindulatú kódnak köszönhetően képesek azonosítani a rosszindulatú programot. Ha azonban a rosszindulatú szoftver külső forrásból töltődik le a csatolt dokumentumsablont kihasználva, az egyetlen gyanús elem az XML-fájlban található URL-cím. Sajnos a piacon lévő AV-k többsége nem képes az URL-ek vizsgálatára. Emellett a rosszindulatú URL bármikor megváltoztatható.
Megoldás: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR egy fejlett fenyegetésmegelőzési technológia, amely nem a felderítésre támaszkodik. Ehelyett feltételezi, hogy minden fájl rosszindulatú, és minden egyes fájlt fertőtlenít és újraépít, biztosítva a teljes használhatóságot biztonságos tartalommal. Függetlenül attól, hogy milyen típusú OLE-objektumokról van szó, a Deep CDR potenciális fenyegető objektumként azonosítja őket, és eltávolítja az összeset a fájlból. Következésképpen mind a 3 fent említett fertőzési vektor többé nem használható. A felhasználók egy biztonságos, teljes funkcionalitású fájlt kapnak.
A Deep CDR honlapon történő feldolgozás után mindhárom minta veszélytelen. Még a beágyazott fájlokat, például a képeket is rekurzívan szanáljuk a 100%-os fenyegetésmegelőzés érdekében.
Deep CDR biztosítja, hogy a szervezetébe bejutó minden fájl nem káros, segít megelőzni a nulladik napi támadásokat és a kitérő rosszindulatú szoftvereket. Megoldásunk több mint 100 gyakori fájltípus, köztük PDF, Microsoft Office fájlok, HTML, képfájlok és számos regionálisan specifikus formátum, például JTD és HWP esetében támogatja a szanálást.
Lépjen kapcsolatba velünk, ha többet szeretne megtudni az OPSWAT fejlett technológiákról, és megvédheti szervezetét az egyre kifinomultabb támadásoktól.
Hivatkozás:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
