Zusammenfassung
In July 2021, there was a sophisticated cyber intrusion utilizing a link to Google’s Feed Proxy service to download a harmful Microsoft Word file to the victims’ device. Once the macros were innocently enabled by users, a Hancitor payload dynamic-link library (DLL) was executed and called the ubiquitous Cobalt Strike tool, which dropped multiple payloads after profiling a compromised network. Within an hour, the attacker can gain domain admin privileges and full control over the domain. In this blog, we describe how OPSWAT Multiscanning solution - Metascan and Deep CDR™ Technology (Content Disarm and Reconstruction) found the potential threat and prevented this advanced attack.
Die Attacke
Wie viele Cyberangriffe heutzutage begann das Eindringen mit einer Spear-Phishing-E-Mail an einen oder mehrere Benutzer im Zielnetzwerk. Wir sind mit Angriffstaktiken vertraut, die versteckte Makros in Dateien verwenden, um bösartige Nutzdaten herunterzuladen. Dieser Angriff ist sogar noch ausweichender und raffinierter, da das eingebettete Makro die Nutzdaten nicht direkt herunterlädt, sondern einen Shellcode (OLE-Objekt) innerhalb des Dokuments extrahiert und ausführt, um die schädlichen Nutzdaten herunterzuladen.
Ein Microsoft Word-Dokument mit bösartigen Makros, die eingebettete Kopien des Hancitor-Trojaner-Downloaders[1] installieren können, wurde an die Benutzer verschickt. Wenn die Benutzer die versteckten Makros in der Datei öffneten und aktivierten, wurde eine DLL-Datei aus dem appdata-Ordner der Opfer geschrieben und ausgeführt. Anschließend lud die Hancitor-DLL verschiedene Nutzdaten herunter und lieferte sie aus, darunter Cobalt Strike[2] und Ficker Stealer[3] enthielt.
Wie OPSWAT Ihnen helfen kann, diesen fortgeschrittenen Angriff zu verhindern
Beim Scannen der bösartigen MS Word-Datei mit OPSWAT MetaDefender fanden nur 17/35 Antiviren-Engines die Bedrohung. Dies ist ein eindeutiger Beweis dafür, dass das Scannen mit einer einzigen oder einigen wenigen AV-Engines nicht ausreicht, um Ihr Unternehmen und Ihre Benutzer zu schützen. Fortgeschrittene Malware mit Ausweichtaktiken kann herkömmliche Abwehrmechanismen umgehen. Eine einzelne Antiviren-Engine kann 40-80 % der Malware erkennen. OPSWAT Metascan ermöglicht es Ihnen, Dateien mit über 30 Anti-Malware-Engines vor Ort und in der Cloud schnell zu scannen, um Erkennungsraten von über 99% zu erreichen.
However, the best approach to ensure your organization and users are protected from sophisticated and zero-day attacks is to sanitize all files with Deep CDR™ Technology. Files are evaluated and verified as they enter the sanitization system to ensure file type and consistency. Then, all file elements are separated into discrete components and potentially malicious elements are removed or sanitized. By providing a detailed sanitization report, Deep CDR™ Technology also enables administrators to analyze the malware behavior without any additional analysis tool. We demonstrate hereunder how Deep CDR™ Technology removed all potential threats in the file and provided a safe-to-consume file to users.
Processing the malevolent Word document with Deep CDR™ Technology, we found several active components, including an OLE object and four macros. We deobfuscated the code and saw that it tried to run (C:\Windows\System32\rundll32.exe C:\users\admin\appdata\roaming\microsoft\templates\ier.dll,HEEPUBQQNOG).
Wie aus dem Bereinigungsergebnis hervorgeht, wurden alle aktiven Inhalte des Dokuments aus der Datei entfernt. Eines der eingebetteten Objekte (das OLE-Objekt) würde den Hancitor-Trojaner (Datei ier.dll) auf dem Computer des Benutzers installieren (sobald dieser ihn unbeabsichtigt aktiviert), wenn er nicht neutralisiert wird, bevor er ihn erreicht.
Zum Schutz ihres Netzwerks ist es für jedes Unternehmen unerlässlich, sicherzustellen, dass alle an ihre internen Mitarbeiter gesendeten Dateien/E-Mails sicher sind, und gleichzeitig die Nutzbarkeit der Dateien zu gewährleisten. Wir liefern sichere Dateien mit maximaler Nutzbarkeit innerhalb von Millisekunden, damit Ihr Arbeitsablauf nicht unterbrochen wird.
By sanitizing each file and removing any potential embedded threats, Deep CDR™ Technology effectively ‘disarms’ all file-based threats including - known and unknown threats; complex and sandbox aware threats; and threats that are equipped with malware evasion technology such as Fully Undetectable malware, VMware detection, obfuscation and many others.
Learn more about Deep CDR™ Technology or talk to an OPSWAT technical expert to discover the best security solution to prevent zero-day and advanced evasive malware.
1. Hancitor ist ein Malware-Downloader, der "Hintertüren" für andere Viren öffnet, um sie einzuschleusen.
2. Cobalt Strike ist ein Fernzugriffs-Tool, das von Cyberkriminellen genutzt wird, um Folge-Malware zu verbreiten.
3. FickerStealer ist eine Malware, die Informationen stiehlt, um sensible Daten zu extrahieren.
