美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布恶意软件分析报告(AR20-232A),警告一种名为 "BLINDINGCAN "的新型恶意软件。这是一种远程访问木马(RAT),由北朝鲜国家支持的黑客创建,目的是对在军事国防和航空航天领域运营的美国和海外公司进行一系列攻击,以获取机密情报和秘密信息。
在本博客中,我们分析了威胁行为者的隐蔽策略,描述了恶意软件的感染载体及其执行方式,并提供了预防此类攻击的解决方案。
感染载体
恶意软件是通过仿冒主要国防和航空航天企业招聘信息的网络钓鱼活动注入受害者系统的。受害者被要求打开附带的 MS Word 文档,最终感染他们的系统。攻击场景似乎很熟悉,也很容易被发现。然而,在这次活动中,朝鲜黑客没有在所附文档中使用嵌入式恶意软件或 VBA 宏,而是使用AttachedTemplate方法从外部源下载受感染文件,然后打开并执行。外部对象可能被用于创建多阶段攻击,以绕过反病毒软件。这种规避性攻击技术并不新鲜,但仍能非常有效地规避和减轻检测。
您可以在这里找到我们的MetaDefender Cloud 进行的详细扫描结果。只有 14/38 个防病毒引擎捕捉到了该威胁。
下面让我们研究 3 个使用 OLE 对象的攻击演示,以了解为什么这种规避伎俩很危险以及如何防范。
嵌入式对象 VS 宏 VS 附加模板,它们如何工作?
在第一个演示中,我们将恶意软件作为 OLE 对象插入 MS Word 文档。
用MetaDefender Cloud扫描文档时,尽管MetaDefender Cloud 配置为提取 Microsoft Office 文件,但仍有9 个反病毒软件成功检测到了嵌入的恶意软件。如果该文档由启用了提取功能的MetaDefender Core (具有完整配置功能的企业内部版本)扫描,则会有更多的引擎检测到恶意软件。
在第二个演示中,我们使用嵌入式宏来下载恶意软件。有4 个引擎检测到了威胁。
最后,我们使用 AttachedTemplate 方法将上述恶意软件替换为外部 eicar 文件。结果,只有一个反病毒软件能检测到该威胁。
总的来说,在第一批演示中,恶意软件作为嵌入对象存在于 "embeddings "文件夹中,反病毒软件可以很容易地检测到。
但是,如果是链接对象,如第二个和第三个演示所示,反病毒软件就很难检测到威胁。这些类型的攻击对基于签名的防御非常有效,因为在受害者打开文件之前,恶意软件不会被下载。
对于使用嵌入式宏的攻击,一些基于检测的防护系统可以通过文件中的恶意代码识别恶意软件。然而,当恶意软件利用 "附加文档模板 "从外部下载时,唯一可疑的元素就是 XML 文件中的 URL。遗憾的是,市场上现有的大多数反病毒软件都不具备扫描 URL 的功能。而且,恶意 URL 可以随时更改。
解决方案:OPSWAT Deep Content Disarm and Reconstruction Deep CDR™技术)
深度CDR™技术是一种先进的威胁防御技术,其运作原理并非依赖检测机制。该技术默认所有文件均存在恶意风险,通过对每个文件进行深度净化与重建,确保文件在保持完整功能性的同时仅包含安全内容。无论何种类型的OLE对象,深度CDR™技术均将其识别为潜在威胁对象并彻底清除。由此,上述三种感染途径均被彻底封堵。用户最终获得的将是功能完备且绝对安全的文件。
经过Deep CDR™技术处理后,所有三个样本均无威胁。即使是图像等嵌入文件也经过递归式净化,确保100%的威胁防护。
Deep CDR™ 技术确保进入组织的每个文件均无危害,助您防范零日攻击和隐蔽型恶意软件。我们的解决方案支持对100多种常见文件类型进行安全处理,包括PDF、Microsoft Office文件、HTML、图像文件,以及JTD和HWP等众多区域特定格式。
请联系我们,进一步了解OPSWAT 先进技术,保护您的组织免受日益复杂的攻击。
参考资料
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
