BLINDINGCAN: זן טרויאני חדש המשתמש לרעה בתבנית מסמך מצורף של מיקרוסופט

הלשכה הפדרלית לחקירות של ארה"ב (FBI) וסוכנות אבטחת הסייבר והתשתיות (CISA) פרסמו דוח ניתוח תוכנות זדוניות (AR20-232A) המזהיר מפני זן חדש של תוכנות זדוניות בשם "BLINDINGCAN". זהו סוס טרויאני לגישה מרחוק (RAT) שנוצר על ידי האקרים בחסות המדינה של צפון קוריאה כדי לבצע סדרה של מתקפות נגד תאגידים אמריקאים וזרות הפועלות במגזרי ההגנה הצבאית והחלל, לצורך מתן מידע מודיעיני חסוי ומידע סודי.

בבלוג זה, אנו מנתחים את הטקטיקות הנסתרות של גורם האיום, מתארים את וקטור ההדבקה של תוכנות זדוניות ואת ביצוען, ומספקים את הפתרון למניעת סוג זה של התקפה.

וקטור זיהום

התוכנה הזדונית הוזרקה למערכת של הקורבנות באמצעות קמפיין פישינג המחקה מודעות דרושים של חברות מובילות בתחומי הביטחון והתעופה. הקורבנות התבקשו לפתוח מסמך Word מצורף, שבסופו של דבר מדביק את המערכות שלהם. תרחישי ההתקפה נראים מוכרים וקלים לזיהוי. עם זאת, בקמפיין זה, ההאקרים הצפון קוריאנים לא השתמשו בתוכנה זדונית מוטמעת או במאקרו VBA בתוך המסמך המצורף, אלא השתמשו בשיטת AttachedTemplate כדי להוריד קובץ נגוע ממקור חיצוני לאחר פתיחתו והפעלתו. ייתכן שהאובייקט החיצוני שימש ליצירת מתקפה רב-שלבית כדי לעקוף פטריות אנטי-וירוס. טכניקת התקפה חמקנית זו אינה חדשה אך עדיין יעילה מאוד לעקיפת ומיתון הזיהוי.

באפשרותך למצוא את תוצאות הסריקה המפורטות שבוצעו על ידי MetaDefender Cloud כאן . רק מנועי 14/38 AV תפסו את האיום.

בואו נחקור להלן 3 הדגמות תקיפה באמצעות אובייקטי OLE כדי להבין מדוע טריק התחמקות זה מסוכן וכיצד למנוע אותו.

אובייקט מוטמע לעומת מאקרו לעומת תבנית מצורפת, איך הם עובדים?

בהדגמה הראשונה, הכנסנו תוכנה זדונית למסמך MS Word כאובייקט OLE.

סריקת המסמך על ידי MetaDefender Cloud , למרות ש MetaDefender Cloud אינו מוגדר לחילוץ קבצי Microsoft Office, 9 מערכות אנטי-וירוס זיהו בהצלחה את התוכנה הזדונית המוטמעת. יהיו יותר מנועים שיזהו את התוכנה הזדונית אם המסמך ייסרק על ידי MetaDefender Core (הגרסה המקומית עם יכולות תצורה מלאות), כאשר החילוץ מופעל.

עבור ההדגמה השנייה, השתמשנו במאקרו מוטמע כדי להוריד את הנוזקה. היו 4 מנועי חיפוש שזיהו את האיום.

לבסוף, החלפנו את הנוזקה הנ"ל בקובץ eicar חיצוני באמצעות שיטת AttachedTemplate. כתוצאה מכך, רק תוכנה זדונית אחת הצליחה לזהות את האיום.

באופן כללי, בהדגמות הראשונות, כאובייקט מוטמע, הנוזקה קיימת בתיקייה "embeddings" המאפשרת זיהוי קל של מכשירי ה-AV.

עם זאת, אם מדובר באובייקט מקושר כפי שמוצג בהדגמות השנייה והשלישית, יהיה קשה הרבה יותר למערכות אנטי-וירוס לזהות את האיום. סוגים אלה של התקפות יעילים כנגד הגנות מבוססות חתימות מכיוון שהתוכנה הזדונית אינה מורדת עד שהקורבנות פותחים את הקובץ.

עבור התקפות המשתמשות במאקרו מוטמע, חלק ממערכות ההגנה מבוססות הזיהוי יכולות לזהות את התוכנה הזדונית הודות לקוד זדוני בתוך הקובץ. אף על פי כן, כאשר התוכנה הזדונית הורדה ממקור חיצוני באמצעות תבנית המסמך המצורף, האלמנט החשוד היחיד הוא כתובת האתר בקובץ ה-XML. למרבה הצער, לרוב תוכנות הזדוניות הקיימות בשוק אין את היכולת לסרוק כתובות URL. כמו כן, ניתן לשנות את כתובת האתר הזדונית בכל עת.

פִּתָרוֹן: OPSWAT Deep Content Disarm and Reconstruction (טכנולוגיית Deep CDR™‎)

טכנולוגיית Deep CDR™ ‎ היא טכנולוגיית מניעת איומים מתקדמת שאינה מסתמכת על זיהוי. במקום זאת, היא מניחה שכל הקבצים זדוניים, מנקה ובונה מחדש כל קובץ, מה שמבטיח שימושיות מלאה עם תוכן בטוח. ללא קשר לסוג אובייקטי ה-OLE, טכנולוגיית Deep CDR™‎ מזהה אותם כאובייקטי איום פוטנציאליים ומסירה את כולם מהקובץ. כתוצאה מכך, כל שלושת וקטורי ההדבקה שהוזכרו לעיל אינם שמישים עוד. המשתמשים יקבלו קובץ בטוח עם פונקציונליות מלאה.

לאחר עיבוד על ידי טכנולוגיית Deep CDR™‎, שלושת הדגימות נקיות מאיומים. אפילו קבצים מוטמעים כמו תמונות עוברים ניקוי רקורסיבי כדי להבטיח מניעת איומים של 100%.

טכנולוגיית Deep CDR™ ‎ מבטיחה שכל קובץ שנכנס לארגון שלך אינו מזיק, ועוזרת לך למנוע התקפות יום אפס ותוכנות זדוניות חמקניות. הפתרון שלנו תומך בניקוי של למעלה מ -100 סוגי קבצים נפוצים , כולל PDF, קבצי Microsoft Office, HTML, קבצי תמונה ופורמטים רבים ספציפיים לאזור כגון JTD ו-HWP.

צרו קשר כדי להבין יותר על OPSWAT טכנולוגיות מתקדמות ולהגן על הארגון שלך מפני התקפות מתוחכמות יותר ויותר.

הַפנָיָה:

Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].

Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].