美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布恶意软件分析报告(AR20-232A),警告一种名为 "BLINDINGCAN "的新型恶意软件。这是一种远程访问木马(RAT),由北朝鲜国家支持的黑客创建,目的是对在军事国防和航空航天领域运营的美国和海外公司进行一系列攻击,以获取机密情报和秘密信息。
在本博客中,我们分析了威胁行为者的隐蔽策略,描述了恶意软件的感染载体及其执行方式,并提供了预防此类攻击的解决方案。
感染载体
恶意软件是通过仿冒主要国防和航空航天企业招聘信息的网络钓鱼活动注入受害者系统的。受害者被要求打开附带的 MS Word 文档,最终感染他们的系统。攻击场景似乎很熟悉,也很容易被发现。然而,在这次活动中,朝鲜黑客没有在所附文档中使用嵌入式恶意软件或 VBA 宏,而是使用AttachedTemplate方法从外部源下载受感染文件,然后打开并执行。外部对象可能被用于创建多阶段攻击,以绕过反病毒软件。这种规避性攻击技术并不新鲜,但仍能非常有效地规避和减轻检测。
您可以在这里找到我们的MetaDefender Cloud 进行的详细扫描结果。只有 14/38 个防病毒引擎捕捉到了该威胁。
下面让我们研究 3 个使用 OLE 对象的攻击演示,以了解为什么这种规避伎俩很危险以及如何防范。
嵌入式对象 VS 宏 VS 附加模板,它们如何工作?
在第一个演示中,我们将恶意软件作为 OLE 对象插入 MS Word 文档。
用MetaDefender Cloud扫描文档时,尽管MetaDefender Cloud 配置为提取 Microsoft Office 文件,但仍有9 个反病毒软件成功检测到了嵌入的恶意软件。如果该文档由启用了提取功能的MetaDefender Core (具有完整配置功能的企业内部版本)扫描,则会有更多的引擎检测到恶意软件。
在第二个演示中,我们使用嵌入式宏来下载恶意软件。有4 个引擎检测到了威胁。
最后,我们使用 AttachedTemplate 方法将上述恶意软件替换为外部 eicar 文件。结果,只有一个反病毒软件能检测到该威胁。
总的来说,在第一批演示中,恶意软件作为嵌入对象存在于 "embeddings "文件夹中,反病毒软件可以很容易地检测到。
但是,如果是链接对象,如第二个和第三个演示所示,反病毒软件就很难检测到威胁。这些类型的攻击对基于签名的防御非常有效,因为在受害者打开文件之前,恶意软件不会被下载。
对于使用嵌入式宏的攻击,一些基于检测的防护系统可以通过文件中的恶意代码识别恶意软件。然而,当恶意软件利用 "附加文档模板 "从外部下载时,唯一可疑的元素就是 XML 文件中的 URL。遗憾的是,市场上现有的大多数反病毒软件都不具备扫描 URL 的功能。而且,恶意 URL 可以随时更改。
解决方案:OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR是一种先进的威胁防范技术,不依赖于检测。相反,它会假定所有文件都是恶意的,并对每个文件进行消毒和重建,确保文件内容安全,完全可用。无论 OLE 对象是什么类型,Deep CDR 都会将其识别为潜在威胁对象,并从文件中删除所有这些对象。因此,上述三种感染载体都不再可用。用户将收到一个具有完整功能的安全文件。
经Deep CDR 处理后,这三个样本均无威胁。即使是图片等嵌入文件也经过了递归消毒,以确保 100% 防范威胁。
Deep CDR可确保进入企业的每个文件都是无害的,帮助您防止零日攻击和规避性恶意软件。我们的解决方案支持对100 多种常见文件类型进行消毒,包括 PDF、Microsoft Office 文件、HTML、图像文件以及 JTD 和 HWP 等许多特定地区格式。
请联系我们,进一步了解OPSWAT 先进技术,保护您的组织免受日益复杂的攻击。
参考资料
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
