Das US Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) haben einen Malware Analysis Report (AR20-232A) veröffentlicht, der vor einem neuen Malware-Stamm namens "BLINDINGCAN" warnt. Dabei handelt es sich um einen Remote-Access-Trojaner (RAT), der von nordkoreanischen staatlich finanzierten Hackern entwickelt wurde, um eine Reihe von Angriffen auf US-amerikanische und ausländische Unternehmen in den Bereichen Militär, Verteidigung und Luft- und Raumfahrt durchzuführen und vertrauliche Informationen zu erlangen.
In diesem Blog analysieren wir die versteckten Taktiken des Bedrohungsakteurs, beschreiben den Malware-Infektionsvektor und seine Ausführung und bieten eine Lösung zur Verhinderung dieser Art von Angriffen.
Infektion Vektor
Die Malware wurde über eine Phishing-Kampagne in das System der Opfer eingeschleust, die Stellenausschreibungen von führenden Unternehmen der Verteidigungs- und Luftfahrtindustrie imitiert. Die Opfer wurden aufgefordert, ein angehängtes MS Word-Dokument zu öffnen, das schließlich ihre Systeme infiziert. Die Angriffsszenarien scheinen vertraut und leicht zu erkennen zu sein. In dieser Kampagne verwendeten die nordkoreanischen Hacker jedoch keine eingebettete Malware oder ein VBA-Makro in dem angehängten Dokument, sondern nutzten die AttachedTemplate-Methode, um beim Öffnen eine infizierte Datei aus einer externen Quelle herunterzuladen und auszuführen. Möglicherweise wurde das externe Objekt verwendet, um einen mehrstufigen Angriff zur Umgehung von AVs durchzuführen. Diese ausweichende Angriffstechnik ist nicht neu, aber immer noch sehr effizient, um die Erkennung zu umgehen und zu entschärfen.
Das detaillierte Scan-Ergebnis, das von unserer MetaDefender Cloud durchgeführt wurde, finden Siehier. Nur 14/38 AV-Engines haben die Bedrohung erkannt.
Lassen Sie uns im Folgenden 3 Angriffsdemonstrationen mit OLE-Objekten untersuchen, um zu verstehen, warum dieser Umgehungstrick gefährlich ist und wie man ihn verhindern kann.
Eingebettetes Objekt VS Makro VS angehängte Vorlage, wie funktionieren sie?
In der ersten Demo haben wir Malware als OLE-Objekt in ein MS Word-Dokument eingefügt.
Beim Scannen des Dokuments mit MetaDefender Cloud, obwohl MetaDefender Cloud nicht für die Extraktion von Microsoft Office-Dateien konfiguriert ist, haben 9 AVs die eingebettete Malware erfolgreich erkannt. Wenn das Dokument mit MetaDefender Core (der Vor-Ort-Version mit vollständigen Konfigurationsmöglichkeiten) gescannt wird, wo die Extraktion aktiviert ist, wird die Malware von mehr Engines erkannt.
In der zweiten Demo haben wir ein eingebettetes Makro zum Herunterladen der Malware verwendet. Es gab 4 Engines, die die Bedrohung erkannten.
Schließlich ersetzten wir die oben genannte Malware durch eine externe eicar-Datei mit der AttachedTemplate-Methode. Infolgedessen konnte nur 1 AV die Bedrohung erkennen.
Im Großen und Ganzen befindet sich die Malware in den ersten Demos als eingebettetes Objekt im Ordner "embeddings", so dass die AVs sie leicht erkennen können.
Wenn es sich jedoch um ein verknüpftes Objekt handelt, wie in der zweiten und dritten Demo gezeigt, ist es für AVs viel schwieriger, die Bedrohung zu erkennen. Diese Arten von Angriffen sind gegen signaturbasierte Abwehrmaßnahmen wirksam, da die Malware erst heruntergeladen wird, wenn die Opfer die Datei öffnen.
Bei Angriffen, die ein eingebettetes Makro verwenden, können einige auf Erkennung basierende Schutzsysteme die Malware dank des bösartigen Codes in der Datei identifizieren. Wenn die Malware jedoch von einer externen Quelle heruntergeladen wird, indem die Vorlage für angehängte Dokumente verwendet wird, ist das einzige verdächtige Element die URL in der XML-Datei. Leider sind die meisten der auf dem Markt befindlichen AVs nicht in der Lage, URLs zu scannen. Außerdem kann die bösartige URL jederzeit geändert werden.
Lösung: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR ist eine fortschrittliche Technologie zur Abwehr von Bedrohungen, die sich nicht auf die Erkennung stützt. Stattdessen wird davon ausgegangen, dass alle Dateien bösartig sind, und jede Datei wird bereinigt und neu erstellt, um die volle Nutzbarkeit mit sicheren Inhalten zu gewährleisten. Unabhängig von der Art der OLE-Objekte identifiziert Deep CDR diese als potenzielle Bedrohungsobjekte und entfernt sie alle aus der Datei. Folglich sind alle 3 oben genannten Infektionsvektoren nicht mehr nutzbar. Die Benutzer erhalten eine sichere Datei mit voller Funktionalität.
Nach der Verarbeitung durch Deep CDR sind alle drei Beispiele frei von Bedrohungen. Selbst eingebettete Dateien wie Bilder werden rekursiv bereinigt, um eine 100-prozentige Bedrohungsabwehr zu gewährleisten.
Deep CDR stellt sicher, dass jede Datei, die in Ihr Unternehmen gelangt, nicht schädlich ist und hilft Ihnen, Zero-Day-Angriffe und ausweichende Malware zu verhindern. Unsere Lösung unterstützt die Bereinigung von über 100 gängigen Dateitypen, darunter PDF, Microsoft Office-Dateien, HTML, Bilddateien und viele regionalspezifische Formate wie JTD und HWP.
Wenden Sie sich an uns, wenn Sie mehr über die fortschrittlichen Technologien von OPSWAT erfahren und Ihr Unternehmen vor immer raffinierteren Angriffen schützen möchten.
Referenz:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
