Cục Điều tra Liên bang Hoa Kỳ (FBI) và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã công bố Báo cáo phân tích phần mềm độc hại (AR20-232A) cảnh báo về một chủng phần mềm độc hại mới có tên "BLINDINGCAN". Đây là một Trojan truy cập từ xa (RAT) được tạo ra bởi các tin tặc được nhà nước Triều Tiên tài trợ để thực hiện một loạt các cuộc tấn công chống lại cả các tập đoàn Mỹ và nước ngoài hoạt động trong lĩnh vực quân sự, quốc phòng và hàng không vũ trụ để lấy thông tin tình báo bí mật và bí mật.
Trong blog này, chúng tôi phân tích các chiến thuật che giấu của tác nhân đe dọa, mô tả vectơ lây nhiễm phần mềm độc hại và thực thi nó, đồng thời cung cấp giải pháp để ngăn chặn loại tấn công này.
Vector nhiễm trùng
Phần mềm độc hại đã được tiêm vào hệ thống của nạn nhân thông qua một chiến dịch lừa đảo bắt chước các bài đăng việc làm từ các doanh nghiệp quốc phòng và hàng không vũ trụ hàng đầu. Các nạn nhân được yêu cầu mở một tài liệu MS Word đính kèm, cuối cùng lây nhiễm vào hệ thống của họ. Các kịch bản tấn công dường như quen thuộc và dễ phát hiện. Tuy nhiên, trong chiến dịch này, tin tặc Triều Tiên không sử dụng phần mềm độc hại nhúng hoặc macro VBA trong tài liệu đính kèm mà sử dụng phương pháp AttachedTemplate để tải xuống tệp bị nhiễm từ nguồn bên ngoài khi mở và thực thi nó. Có thể, đối tượng bên ngoài đã được sử dụng để tạo ra một cuộc tấn công nhiều giai đoạn để vượt qua AV. Kỹ thuật tấn công né tránh này không mới nhưng vẫn rất hiệu quả để phá vỡ và giảm thiểu sự phát hiện.
Bạn có thể tìm thấy kết quả quét chi tiết được thực hiện bởi chúng tôi MetaDefender Cloud ở đây . Chỉ có 14/38 động cơ AV phát hiện được mối đe dọa.
Hãy cùng điều tra 3 cuộc biểu tình tấn công bằng cách sử dụng các đối tượng OLE dưới đây để hiểu tại sao thủ thuật né tránh này lại nguy hiểm và làm thế nào để ngăn chặn nó.
Đối tượng nhúng VS Macro VS mẫu đính kèm, chúng hoạt động như thế nào?
Trong bản demo đầu tiên, chúng tôi đã chèn phần mềm độc hại vào tài liệu MS Word dưới dạng đối tượng OLE.
Có tài liệu được quét bởi MetaDefender Cloud , mặc dù MetaDefender Cloud không được cấu hình để trích xuất các tệp Microsoft Office, 9 AV đã phát hiện thành công phần mềm độc hại được nhúng. Sẽ có nhiều công cụ phát hiện phần mềm độc hại hơn nếu tài liệu được quét bởi MetaDefender Core (phiên bản tại chỗ có khả năng cấu hình đầy đủ), trong đó chức năng trích xuất được bật.
Đối với bản demo thứ hai, chúng tôi đã sử dụng Macro nhúng để tải xuống phần mềm độc hại. Có 4 động cơ phát hiện mối đe dọa.
Cuối cùng, chúng tôi đã thay thế phần mềm độc hại trên bằng tệp eicar bên ngoài bằng phương thức AttachedTemplate. Kết quả là, chỉ có 1 AV có thể phát hiện mối đe dọa.
Nhìn chung, trong các bản demo đầu tiên, với tư cách là một đối tượng nhúng, phần mềm độc hại tồn tại trong thư mục "nhúng" cho phép các AV phát hiện dễ dàng.
Tuy nhiên, nếu đó là một đối tượng được liên kết như được hiển thị trong bản demo thứ hai và thứ ba, AV sẽ khó phát hiện ra mối đe dọa hơn nhiều. Những kiểu tấn công này có hiệu quả chống lại các biện pháp phòng thủ dựa trên chữ ký vì phần mềm độc hại không được tải xuống cho đến khi nạn nhân mở tệp.
Đối với các cuộc tấn công sử dụng macro nhúng, một số hệ thống bảo vệ dựa trên phát hiện có thể xác định phần mềm độc hại nhờ mã độc hại trong tệp. Tuy nhiên, khi phần mềm độc hại được tải xuống từ một nguồn bên ngoài bằng cách tận dụng Mẫu tài liệu đính kèm, yếu tố đáng ngờ duy nhất là URL trong tệp XML. Thật không may, hầu hết các AV hiện có trên thị trường không có khả năng quét URL. Ngoài ra, URL độc hại có thể được thay đổi bất cứ lúc nào.
Giải pháp: OPSWAT Deep Content Disarm and Reconstruction ( Deep CDR )
Deep CDR là công nghệ phòng ngừa mối đe dọa tiên tiến không dựa vào phát hiện. Thay vào đó, nó giả định tất cả các tệp đều độc hại và Làm sạch và xây dựng lại từng tệp để đảm bảo khả năng sử dụng đầy đủ với nội dung an toàn. Bất kể loại đối tượng OLE nào, Deep CDR xác định chúng là các đối tượng đe dọa tiềm ẩn và xóa tất cả chúng khỏi tệp. Do đó, cả 3 vectơ lây nhiễm được đề cập ở trên đều không còn sử dụng được nữa. Người dùng sẽ nhận được một tệp an toàn với đầy đủ chức năng.
Sau khi được xử lý bởi Deep CDR , cả ba mẫu đều không có mối đe dọa. Ngay cả các tệp nhúng như hình ảnh cũng được Làm sạch đệ quy để đảm bảo ngăn ngừa mối đe dọa 100%.
Deep CDR đảm bảo mọi tệp nhập vào tổ chức của bạn không gây hại, giúp bạn ngăn chặn các cuộc tấn công zero-day và phần mềm độc hại ẩn náu. Giải pháp của chúng tôi hỗ trợ vệ sinh cho hơn 100 loại tệp phổ biến , bao gồm PDF, tệp Microsoft Office, HTML, tệp hình ảnh và nhiều định dạng cụ thể theo khu vực như JTD và HWP.
Liên hệ với chúng tôi để hiểu thêm về OPSWAT Các công nghệ tiên tiến và bảo vệ tổ chức của bạn khỏi các cuộc tấn công ngày càng tinh vi.
Tham khảo:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
