Tóm tắt
Vào tháng 7 năm 2021, một cuộc tấn công mạng tinh vi đã xảy ra, sử dụng liên kết đến dịch vụ Feed Proxy của Google để tải xuống một tệp Microsoft Word độc hại vào thiết bị của nạn nhân. Sau khi người dùng vô tình kích hoạt các macro, một thư viện liên kết động (DLL) chứa mã độc Hancitor đã được thực thi và gọi công cụ Cobalt Strike phổ biến, công cụ này đã thả nhiều mã độc sau khi phân tích mạng bị xâm nhập. Trong vòng một giờ, kẻ tấn công có thể giành được quyền quản trị viên miền và toàn quyền kiểm soát miền. Trong bài viết này, chúng tôi mô tả cách thức thực hiện điều đó. OPSWAT Giải pháp Multiscanning - Công nghệ Metascan và Deep CDR™ (Giải mã và tái cấu trúc nội dung) đã phát hiện ra mối đe dọa tiềm tàng và ngăn chặn cuộc tấn công tinh vi này.
Cuộc tấn công
Giống như nhiều cuộc tấn công mạng hiện nay, sự xâm nhập bắt đầu bằng một email lừa đảo đến một hoặc nhiều người dùng trong mạng mục tiêu. Chúng tôi đã quen thuộc với các chiến thuật tấn công bằng cách sử dụng macro ẩn trong các tệp để tải xuống các tải trọng độc hại. Cuộc tấn công này thậm chí còn lẩn tránh và tinh vi hơn vì macro nhúng không tải xuống trực tiếp các tải trọng, nhưng nó trích xuất và chạy một shellcode (đối tượng OLE) bên trong tài liệu để tải xuống các payload có hại.
Một tài liệu Microsoft Word với các macro độc hại có khả năng cài đặt các bản sao nhúng của trình tải xuống trojan Hancitor [1] đã được gửi đến người dùng. Khi người dùng mở và bật các macro ẩn trong tệp, nó đã ghi và thực thi tệp DLL từ thư mục appdata của nạn nhân. Sau đó, Hancitor DLL đã tải xuống và phân phối các tải trọng khác nhau có chứa Cobalt Strike [2] và Ficker Stealer[3].
Thế nào OPSWAT có thể giúp bạn ngăn chặn cuộc tấn công nâng cao này
Quét tệp MS Word độc hại với OPSWAT MetaDefender, chỉ có 17/35 công cụ chống virus tìm thấy mối đe dọa. Đây là bằng chứng chắc chắn rằng quét bằng một hoặc một vài công cụ AV là không đủ để bảo vệ tổ chức và người dùng của bạn. mã độc tiên tiến với chiến thuật lẩn tránh có thể vượt qua các biện pháp phòng thủ truyền thống. Một công cụ chống vi rút duy nhất có thể phát hiện 40% -80% mã độc. OPSWAT Siêu quét Cho phép bạn nhanh chóng quét các tệp với hơn 30 trình quét phòng chống mã độc tại chỗ và trên đám mây để đạt được tỷ lệ phát hiện lớn hơn 99%.
Tuy nhiên, phương pháp tốt nhất để đảm bảo tổ chức và người dùng của bạn được bảo vệ khỏi các cuộc tấn công tinh vi và tấn công zero-day là làm sạch tất cả các tệp tin bằng Công nghệ Deep CDR™ . Các tệp tin được đánh giá và xác minh khi chúng đi vào hệ thống làm sạch để đảm bảo loại tệp tin và tính nhất quán. Sau đó, tất cả các thành phần của tệp tin được tách thành các thành phần riêng biệt và các yếu tố có khả năng độc hại sẽ bị loại bỏ hoặc loại bỏ. làm sạch Bằng cách cung cấp báo cáo làm sạch chi tiết, công nghệ Deep CDR™ cũng cho phép quản trị viên phân tích hành vi của phần mềm độc hại mà không cần bất kỳ công cụ phân tích bổ sung nào. Chúng tôi sẽ trình bày bên dưới cách công nghệ Deep CDR™ đã loại bỏ tất cả các mối đe dọa tiềm ẩn trong tệp và cung cấp tệp an toàn cho người dùng.
Khi xử lý tài liệu Word độc hại bằng Công nghệ Deep CDR™, chúng tôi đã tìm thấy một số thành phần hoạt động, bao gồm một đối tượng OLE và bốn macro. Chúng tôi đã giải mã và thấy rằng nó đã cố gắng chạy (C:\Windows\System32\rundll32.exe C:\users\admin\appdata\roaming\microsoft\templates\ier.dll,HEEPUBQQNOG).
Như thể hiện trong kết quả Làm sạch, tất cả nội dung hoạt động trong tài liệu đã bị xóa khỏi tệp. Một trong những đối tượng nhúng (đối tượng OLE) sẽ cài đặt trojan Hancitor (tệp .dll) vào máy của người dùng (một khi họ vô tình kích hoạt nó) nếu nó không được vô hiệu hóa trước khi tiếp cận họ.
Để bảo vệ mạng của họ, điều trọng yếu đối với bất kỳ tổ chức nào là đảm bảo rằng tất cả các tệp / email được gửi cho nhân viên nội bộ của họ đều an toàn, đồng thời đảm bảo khả năng sử dụng tệp. Chúng tôi cung cấp các tệp an toàn với khả năng sử dụng tối đa trong vòng mili giây, vì vậy quy trình làm việc của bạn không bị gián đoạn.
Bằng cách làm sạch từng tệp tin và loại bỏ mọi mối đe dọa tiềm ẩn, Công nghệ Deep CDR™ vô hiệu hóa hiệu quả tất cả các mối đe dọa dựa trên tệp tin, bao gồm: các mối đe dọa đã biết và chưa biết; các mối đe dọa phức tạp và có khả năng hoạt động trong môi trường sandbox; và các mối đe dọa được trang bị công nghệ né tránh phần mềm độc hại như phần mềm độc hại hoàn toàn không thể phát hiện, phát hiện VMware, mã hóa làm xáo trộn và nhiều công nghệ khác.
Tìm hiểu thêm về Công nghệ Deep CDR™ hoặc liên hệ với chuyên gia kỹ thuật OPSWAT để khám phá giải pháp bảo mật tốt nhất nhằm ngăn chặn các phần mềm độc hại zero-day và các phần mềm độc hại khó phát hiện.
1. Hancitor là một trình tải xuống mã độc mở 'cửa hậu' cho các loại virus khác xâm nhập.
2. Cobalt Strike là một công cụ truy cập từ xa đã được tội phạm mạng lựa chọn để cung cấp mã độc tiếp theo.
3. FickerStealer là một mã độc đánh cắp thông tin được thiết kế để trích xuất thông tin nhạy cảm.
