Biroul Federal de Investigații al SUA (FBI) și Agenția de Securitate Cibernetică și de Securitate a Infrastructurii (CISA) au publicat Raportul de analiză a programelor malware (AR20-232A) care avertizează asupra unei noi tulpini de malware denumită "BLINDINGCAN". Acesta este un troian de acces de la distanță (RAT) creat de hackerii sponsorizați de statul nord-coreean pentru a efectua o serie de atacuri împotriva corporațiilor americane și străine care operează în sectoarele militar, de apărare și aerospațial pentru informații confidențiale și secrete.
În acest blog, analizăm tacticile ascunse ale agentului de amenințare, descriem vectorul de infectare malware și execuția acestuia și oferim o soluție pentru a preveni acest tip de atac.
Vector de infecție
Programul malware a fost injectat în sistemul victimelor prin intermediul unei campanii de phishing care imită anunțurile de angajare ale unor importante întreprinderi din domeniul apărării și aerospațial. Victimelor li s-a cerut să deschidă un document MS Word atașat, care în cele din urmă le-a infectat sistemele. Scenariile de atac par a fi familiare și ușor de detectat. Cu toate acestea, în această campanie, hackerii nord-coreeni nu au utilizat niciun malware încorporat sau macro VBA în documentul atașat, ci au folosit metoda AttachedTemplate pentru a descărca un fișier infectat dintr-o sursă externă la deschidere și a-l executa. Este posibil ca obiectul extern să fi fost utilizat pentru a crea un atac în mai multe etape pentru a ocoli sistemele antivirus. Această tehnică de atac evazivă nu este nouă, dar este încă foarte eficientă pentru a ocoli și a atenua detecția.
Puteți găsi rezultatul scanării detaliate efectuate de MetaDefender Cloud aici. Doar 14/38 de motoare AV au detectat amenințarea.
Să analizăm mai jos 3 demonstrații de atac cu ajutorul obiectelor OLE pentru a înțelege de ce acest truc evaziv este periculos și cum să îl prevenim.
Obiect încorporat VS Macro VS șablon atașat, cum funcționează?
În prima demonstrație, am inserat programe malware într-un document MS Word ca obiect OLE.
După scanarea documentului de către MetaDefender Cloud, chiar dacă MetaDefender Cloud nu este configurat să extragă fișiere Microsoft Office, 9 AV au detectat cu succes malware-ul încorporat. Mai multe motoare vor detecta malware-ul dacă documentul este scanat de MetaDefender Core (versiunea on-premises cu capacități complete de configurare), unde extragerea este activată.
Pentru cel de-al doilea demo, am folosit un macro încorporat pentru a descărca malware-ul. Amenințarea a fost detectată de 4 motoare.
În cele din urmă, am înlocuit malware-ul de mai sus cu un fișier eicar extern folosind metoda AttachedTemplate. Ca rezultat, doar 1 AV a putut detecta amenințarea.
În general, în primele demonstrații, ca obiect încorporat, malware-ul există în folderul "embeddings", ceea ce permite detectarea cu ușurință de către AV-uri.
Cu toate acestea, dacă este vorba de un obiect legat, așa cum se arată în a doua și a treia demonstrație, va fi mult mai greu pentru AV-uri să detecteze amenințarea. Aceste tipuri de atacuri sunt eficiente împotriva apărărilor bazate pe semnături, deoarece malware-ul nu este descărcat până când victimele nu deschid fișierul.
În cazul atacurilor care utilizează un macro încorporat, unele sisteme de protecție bazate pe detecție pot identifica programele malware datorită codului malițios din fișier. Cu toate acestea, în cazul în care malware-ul a fost descărcat dintr-o sursă externă prin utilizarea șablonului de document atașat, singurul element suspect este URL-ul din fișierul XML. Din păcate, majoritatea sistemelor antivirus existente pe piață nu au capacitatea de a scana URL-urile. De asemenea, URL-ul malițios poate fi schimbat oricând.
Soluție: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR este o tehnologie avansată de prevenire a amenințărilor care nu se bazează pe detectare. În schimb, aceasta presupune că toate fișierele sunt malițioase și igienizează și reconstruiește fiecare fișier, asigurând utilizarea completă cu conținut sigur. Indiferent de tipul de obiecte OLE, Deep CDR le identifică ca potențiale obiecte amenințătoare și le elimină pe toate din fișier. În consecință, toți cei 3 vectori de infecție menționați mai sus nu mai sunt utilizabili. Utilizatorii vor primi un fișier sigur, cu funcționalitate deplină.
După ce au fost procesate de Deep CDR, toate cele trei mostre sunt lipsite de amenințări. Chiar și fișierele încorporate, cum ar fi imaginile, sunt, de asemenea, salubrizate recursiv pentru a asigura o prevenire 100% a amenințărilor.
Deep CDR asigură că fiecare fișier care intră în organizația dvs. nu este dăunător, ajutându-vă să preveniți atacurile de tip zero-day și programele malware evazive. Soluția noastră suportă dezinfectarea a peste 100 de tipuri comune de fișiere, inclusiv PDF, fișiere Microsoft Office, HTML, fișiere de imagine și multe formate specifice regionale, cum ar fi JTD și HWP.
Contactați-ne pentru a înțelege mai multe despre OPSWAT tehnologii avansate și pentru a vă proteja organizația împotriva atacurilor tot mai sofisticate.
Referință:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
