2022 年 2 月,恶意软件研究员 Chris Campbell 发现了一种新的网络钓鱼活动,该活动使用特制的 CSV(逗号分隔值)文本文件,使用户的设备感染 BazarBackdoor 木马。在这篇博文中,我们将分析攻击场景,并向您展示如何通过以下方法防范这种复杂的攻击 Deep CDR
(内容解除和重构)。
攻击战术
在这次网络钓鱼活动中,网络罪犯利用了 CSV 文件--一种以表格格式存储数据并使用逗号分隔值的分隔文本文件。这种文件类型是数据库和应用程序之间交换简单数据的常用方式。由于 CSV 文件只包含文本,没有可执行代码,因此很多用户认为它是无害的,并不加警惕地迅速打开文档。他们没有想到,如果使用支持动态数据交换(DDE)的应用程序(如 Microsoft Excel 和 OpenOffice Calc)打开 CSV 文件,该文件可能会成为恶意软件侵入其设备的威胁载体。这些应用程序可以执行 CSV 文件中的公式和函数。威胁制造者滥用这种 DDE 功能来执行任意命令,下载并安装 BazarBackdoor 木马,从而入侵并完全访问不知情的受害者设备上的企业网络。与隐藏在 MS Office 文件中的恶意宏或 VBA 代码的流行攻击方式相比,隐藏在 DDE 文件中的威胁更难被发现。
仔细查看该文件,我们可以发现其中一列数据中包含一个 =WmiC| 命令(Windows 管理接口命令)。如果受害者无意中允许这个 DDE 函数运行,它就会创建一个 PowerShell 命令。然后,该命令将打开一个远程 URL 以下载 BazarLoader,BazarBackdoor 将被安装到受害者的机器上。
Deep CDR 如何帮助您抵御 DDE 攻击
您可以在邮件到达用户之前对邮件附件中的文件进行过滤,从而保护您的网络免受这些复杂的网络钓鱼活动的攻击。Deep CDR 认为每个文件都是潜在的威胁,并将重点放在预防而不仅仅是检测上,它可以清除文件中的所有活动内容,同时保持文件的可用性和功能不变。Deep CDR 是MetaDefender -OPSWAT高阶威胁防御平台的六项关键技术之一,真正体现了零信任理念。
以下是我们使用MetaDefender Core 处理受感染的 CSV 文件后的消毒详情(您也可以参考MetaDefender Cloud 上的扫描结果 MetaDefender Cloud 上的扫描结果)。Deep CDR 中和了文件中的公式,因此没有创建 PowerShell 命令。这样就无法下载恶意软件了。
在类似的攻击中,威胁作者使用更复杂的公式来逃避检测。通常,MS Excel 中的公式以等号 (=) 开头。但是,由于该应用程序也接受以不同符号(如"=+"或"@")开头的公式,而不是仅以"="开头,因此 CSV 文件中的破坏性公式可以是:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
这些类型的公式可以躲过一些常见的 CDR 系统。不过,Deep CDR 可以轻松应对这种策略,输出干净、安全的文件,从而消除威胁。
了解更多有关 Deep CDR或与OPSWAT 技术专家交谈,了解最佳安全解决方案,以保护您的企业网络和用户免受零日攻击和高级规避型恶意软件的侵害。
