Das US Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) haben einen Malware Analysis Report (AR20-232A) veröffentlicht, der vor einem neuen Malware-Stamm namens "BLINDINGCAN" warnt. Dabei handelt es sich um einen Remote-Access-Trojaner (RAT), der von nordkoreanischen staatlich finanzierten Hackern entwickelt wurde, um eine Reihe von Angriffen auf US-amerikanische und ausländische Unternehmen in den Bereichen Militär, Verteidigung und Luft- und Raumfahrt durchzuführen und vertrauliche Informationen zu erlangen.
In diesem Blog analysieren wir die versteckten Taktiken des Bedrohungsakteurs, beschreiben den Malware-Infektionsvektor und seine Ausführung und bieten eine Lösung zur Verhinderung dieser Art von Angriffen.
Infektion Vektor
Die Malware wurde über eine Phishing-Kampagne in das System der Opfer eingeschleust, die Stellenausschreibungen von führenden Unternehmen der Verteidigungs- und Luftfahrtindustrie imitiert. Die Opfer wurden aufgefordert, ein angehängtes MS Word-Dokument zu öffnen, das schließlich ihre Systeme infiziert. Die Angriffsszenarien scheinen vertraut und leicht zu erkennen zu sein. In dieser Kampagne verwendeten die nordkoreanischen Hacker jedoch keine eingebettete Malware oder ein VBA-Makro in dem angehängten Dokument, sondern nutzten die AttachedTemplate-Methode, um beim Öffnen eine infizierte Datei aus einer externen Quelle herunterzuladen und auszuführen. Möglicherweise wurde das externe Objekt verwendet, um einen mehrstufigen Angriff zur Umgehung von AVs durchzuführen. Diese ausweichende Angriffstechnik ist nicht neu, aber immer noch sehr effizient, um die Erkennung zu umgehen und zu entschärfen.
Das detaillierte Scan-Ergebnis, das von unserer MetaDefender Cloud durchgeführt wurde, finden Siehier. Nur 14/38 AV-Engines haben die Bedrohung erkannt.
Lassen Sie uns im Folgenden 3 Angriffsdemonstrationen mit OLE-Objekten untersuchen, um zu verstehen, warum dieser Umgehungstrick gefährlich ist und wie man ihn verhindern kann.
Eingebettetes Objekt VS Makro VS angehängte Vorlage, wie funktionieren sie?
In der ersten Demo haben wir Malware als OLE-Objekt in ein MS Word-Dokument eingefügt.
Beim Scannen des Dokuments mit MetaDefender Cloud, obwohl MetaDefender Cloud nicht für die Extraktion von Microsoft Office-Dateien konfiguriert ist, haben 9 AVs die eingebettete Malware erfolgreich erkannt. Wenn das Dokument mit MetaDefender Core (der Vor-Ort-Version mit vollständigen Konfigurationsmöglichkeiten) gescannt wird, wo die Extraktion aktiviert ist, wird die Malware von mehr Engines erkannt.
In der zweiten Demo haben wir ein eingebettetes Makro zum Herunterladen der Malware verwendet. Es gab 4 Engines, die die Bedrohung erkannten.
Schließlich ersetzten wir die oben genannte Malware durch eine externe eicar-Datei mit der AttachedTemplate-Methode. Infolgedessen konnte nur 1 AV die Bedrohung erkennen.
Im Großen und Ganzen befindet sich die Malware in den ersten Demos als eingebettetes Objekt im Ordner "embeddings", so dass die AVs sie leicht erkennen können.
Wenn es sich jedoch um ein verknüpftes Objekt handelt, wie in der zweiten und dritten Demo gezeigt, ist es für AVs viel schwieriger, die Bedrohung zu erkennen. Diese Arten von Angriffen sind gegen signaturbasierte Abwehrmaßnahmen wirksam, da die Malware erst heruntergeladen wird, wenn die Opfer die Datei öffnen.
Bei Angriffen, die ein eingebettetes Makro verwenden, können einige auf Erkennung basierende Schutzsysteme die Malware dank des bösartigen Codes in der Datei identifizieren. Wenn die Malware jedoch von einer externen Quelle heruntergeladen wird, indem die Vorlage für angehängte Dokumente verwendet wird, ist das einzige verdächtige Element die URL in der XML-Datei. Leider sind die meisten der auf dem Markt befindlichen AVs nicht in der Lage, URLs zu scannen. Außerdem kann die bösartige URL jederzeit geändert werden.
Lösung: OPSWAT Deep Content Disarm and Reconstruction Deep CDR™-Technologie)
Die Deep CDR™-Technologie ist eine fortschrittliche Technologie zur Bedrohungsprävention, die nicht auf Erkennung setzt. Stattdessen geht sie davon aus, dass alle Dateien schädlich sind, und bereinigt und rekonstruiert jede Datei, um die volle Nutzbarkeit mit sicheren Inhalten zu gewährleisten. Unabhängig davon, um welche Art von OLE-Objekten es sich handelt, identifiziert die Deep CDR™-Technologie diese als potenzielle Bedrohungsobjekte und entfernt sie vollständig aus der Datei. Folglich sind alle drei oben genannten Infektionsvektoren nicht mehr nutzbar. Die Benutzer erhalten eine sichere Datei mit vollem Funktionsumfang.
Nach der Verarbeitung durch die Deep CDR™-Technologie sind alle drei Dateien frei von Bedrohungen. Selbst eingebettete Dateien wie Bilder werden rekursiv bereinigt, um eine 100-prozentige Abwehr von Bedrohungen zu gewährleisten.
Die Deep CDR™-Technologie stellt sicher, dass keine schädlichen Dateien in Ihr Unternehmen gelangen, und hilft Ihnen so, Zero-Day-Angriffe und schwer zu erkennende Malware abzuwehren. Unsere Lösung unterstützt die Bereinigung von über 100 gängigen Dateiformaten, darunter PDF, Microsoft Office-Dateien, HTML, Bilddateien und viele regionalspezifische Formate wie JTD und HWP.
Wenden Sie sich an uns, wenn Sie mehr über die fortschrittlichen Technologien von OPSWAT erfahren und Ihr Unternehmen vor immer raffinierteren Angriffen schützen möchten.
Referenz:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
