在今年二月,研究人員發現了一個新型網路釣魚手法利用專門生成的CSV文件檔將惡意軟體「Bazar後門木馬程式」感染到用戶的設備中。我們將會於這篇文章中,針對攻擊發生事件做分析並向你展示如何利用OPSWAT Deep CDR (Deep Content Disarm and Reconstruct) 深度檔案清洗的技術來預防此次的攻擊。

進攻的手法

在這次網路釣魚的攻擊活動裡,網路犯罪分子利用 CSV 文件 - 包含用逗號分隔的文本列文件。 在許多情況下,第一行文本是每列的標題或描述。這種文件類型是在數據庫和應用程式之間交換簡單數據普遍的方式。由於 CSV 文件只是包含沒有可執行程式碼的文本,因此許多用戶認為它無害,並在不小心的情況下快速打開文檔。如果使用支持動態數據交換 (DDE) 的應用程式(例如 Microsoft Excel 和 OpenOffice Calc)打開 CSV 文件, 一般人並不會懷疑該文件可能是威脅媒介,而惡意軟體就會以此方式通過該威脅媒介進入使用者的設備。這些應用程式便可以執行 CSV 文件中的公式和函數。

此威脅的幕後黑手濫用此 DDE 功能來執行任意命令,這些命令會下載並安裝 BazarBackdoor 木馬,從而從粗心的受害者設備中破壞並獲得對公司網路的全部權限。與在 MS Office 文件中隱藏惡意巨集或 VBA 程式碼這種流行攻擊方法相比,隱藏在 DDE 文檔中的威脅更難檢測。

仔細檢查文件,我們可以看到一個 =WmiC| 命令(Windows 管理界面命令)包含在數據列之一中。 如果受害者無意中允許此 DDE 函數運行,它將創建一個 PowerShell 命令。 然後,這些命令將打開一個遠程 URL 以下載 BazarLoader,並 將 BazarBackdoor 安裝在受害者的設備上。

OPSWAT Deep CDR 如何幫助您防禦 DDE 攻擊

您可以在電子郵件寄送到您的使用者前對其進行清理,從而保護您的網路免於受到複雜網路釣魚活動的侵害。 我們必須隨時警惕自己,任何文件都有可能是一個威脅,我們需要注重的是如何「預防它」而不是單純仰賴「偵測」。Deep CDR深度檔案清洗會移除所有文件內的主動式內容 (Active Content)  但仍保持文件的可用性。Deep CDR 是OPSWAT著名的MetaDefender 進階威脅防護平台其中的一項技術,此平台的所有技術完全體現OPSWAT的「零信任理念」(Zero Trust Philosophy)。

以下是我們使用 MetaDefender Core 處理受感染的 CSV 文件後的清理細節(您也可以參考 MetaDefender Cloud 上的掃描結果)。 Deep CDR 中和了文件中的公式,因此沒有創建 PowerShell 命令。 惡意軟體也無法被下載。

在類似的攻擊中,威脅的幕後黑手使用更複雜的公式來逃避檢測。 通常,MS Excel 中的公式以等號 (=) 開頭。 但是,由於此應用程式還接受以不同符號開頭的公式,例如“=+”或“@”,而不僅僅是“=”,因此 CSV 文件中的破壞性公式可以是:

=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")

這些類型的公式可以避開一些常見的 CDR 系統。 但是,OPSWAT Deep CDR 可以輕鬆處理這種策略並輸出乾淨、安全的文件,從而消除威脅。

想了解更多如何保護您組織網路和用戶安全的資安解決方案,歡迎查閱OPSWAT Deep CDR 網頁或與 OPSWAT 的資安專家訂個時間進行討論。


熱門新聞

Advertisement