تثبيت مكتب التحقيقات الفيدرالي الأمريكي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) تقرير تحليل البرامج الضارة (AR20-232A) الذي يحذر من سلالة جديدة من البرامج الضارة تسمى "BLINDINGCAN". هذا حصان طروادة للوصول عن بعد (RAT) تم إنشاؤه بواسطة قراصنة ترعاهم الدولة في كوريا الشمالية لتنفيذ سلسلة من الهجمات ضد كل من الشركات الأمريكية والأجنبية العاملة في قطاعي الدفاع العسكري والفضاء الجوي للحصول على معلومات استخباراتية سرية وسرية.
في هذه المدونة ، نقوم بتحليل التكتيكات المخفية لممثل التهديد ، ونصف ناقل الإصابة بالبرامج الضارة وتنفيذه ، ونقدم الحل لمنع هذا النوع من الهجوم.
ناقل العدوى
تم حقن البرامج الضارة في نظام الضحايا عبر حملة تصيد تحاكي إعلانات الوظائف من شركات الدفاع والفضاء الرائدة. طلب من الضحايا فتح مستند MS Word مرفق ، والذي يصيب أنظمتهم في النهاية. يبدو أن سيناريوهات الهجوم مألوفة وسهلة الاكتشاف. ومع ذلك ، في هذه الحملة ، لم يستخدم المتسللون الكوريون الشماليون أي برامج ضارة مضمنة أو ماكرو VBA داخل المستند المرفق ولكنهم استخدموا طريقة AttachedTemplate لتنزيل ملف متضرر من مصدر خارجي عند فتحه وتنفيذه. ربما ، تم استخدام الكائن الخارجي لإنشاء هجوم متعدد المراحل لتجاوز AVs. تقنية الهجوم المراوغة هذه ليست جديدة ولكنها لا تزال فعالة للغاية للتحايل على الكشف وتخفيفه.
يمكنك العثور على نتيجة الفحص التفصيلي الذي أجراه MetaDefender Cloud هنا. لم يكتشف التهديد سوى 14/38 محرك AV فقط.
دعونا نحقق في 3 عروض توضيحية للهجوم باستخدام كائنات OLE أدناه لفهم سبب خطورة هذه الحيلة المراوغة وكيفية منعها.
كائن مضمن مقابل ماكرو مقابل قالب مرفق ، كيف تعمل؟
في العرض التوضيحي الأول ، قمنا بإدراج برامج ضارة في مستند MS Word ككائن OLE.
بعد فحص المستند بواسطة MetaDefender Cloud على الرغم من أن MetaDefender Cloud غير مهيأ لاستخراج ملفات Microsoft Office، نجحت 9 محركات مضادة للفيروسات في اكتشاف البرمجيات الخبيثة المضمنة. سيكون هناك المزيد من المحركات التي تكتشف البرمجيات الخبيثة إذا تم فحص المستند بواسطة MetaDefender Core (الإصدار المحلي مع إمكانات تهيئة كاملة)، حيث يتم تمكين الاستخراج.
بالنسبة للعرض التوضيحي الثاني ، استخدمنا ماكرو مضمنا لتنزيل البرامج الضارة. كان هناك 4 محركات تكتشف التهديد.
أخيرا ، استبدلنا البرامج الضارة المذكورة أعلاه بملف eicar خارجي باستخدام طريقة AttachedTemplate. نتيجة لذلك ، يمكن ل 1 AV فقط اكتشاف التهديد.
بشكل عام ، في العروض التوضيحية الأولى ، ككائن مضمن ، توجد البرامج الضارة في مجلد "التضمين" الذي يمكن AVs من اكتشافها بسهولة.
ومع ذلك ، إذا كان كائنا مرتبطا كما هو موضح في العروض التوضيحية الثانية والثالثة ، فسيكون من الصعب جدا على AVs اكتشاف التهديد. هذه الأنواع من الهجمات فعالة ضد الدفاعات المستندة إلى التوقيع حيث لا يتم تنزيل البرامج الضارة حتى يفتح الضحايا الملف.
بالنسبة للهجمات التي تستخدم ماكرو مضمنا ، يمكن لبعض أنظمة الحماية المستندة إلى الكشف تحديد البرامج الضارة بفضل التعليمات البرمجية الضارة داخل الملف. ومع ذلك ، عند تنزيل البرامج الضارة من مصدر خارجي عن طريق الاستفادة من قالب المستند المرفق ، فإن العنصر الوحيد المريب هو عنوان URL في ملف XML. لسوء الحظ ، لا تملك معظم المركبات ذاتية القيادة الموجودة في السوق القدرة على فحص عناوين URL. أيضا ، يمكن تغيير عنوان URL الضار في أي وقت.
الحل: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR هي تقنية متقدمة لمنع التهديدات لا تعتمد على الاكتشاف. بدلاً من ذلك، تفترض أن جميع الملفات ضارة وتقوم بتعقيم وإعادة بناء كل ملف لضمان قابلية الاستخدام الكامل بمحتوى آمن. وبغض النظر عن نوع كائنات OLE، فإن Deep CDR يحددها ككائنات تهديد محتملة ويزيلها جميعاً من الملف. وبالتالي، فإن جميع نواقل الإصابة الثلاثة المذكورة أعلاه لم تعد قابلة للاستخدام. سيتلقى المستخدمون ملفاً آمناً بوظائف كاملة.
بعد معالجتها بواسطة Deep CDR ، جميع العينات الثلاث خالية من التهديدات. حتى الملفات المضمنة مثل الصور يتم أيضًا تعقيمها بشكل متكرر لضمان الوقاية من التهديدات بنسبة 100٪.
Deep CDR يضمن لك أن كل ملف يدخل إلى مؤسستك ليس ضارًا مما يساعدك على منع هجمات فورية والبرمجيات الضارة المراوغة. يدعم الحل الذي نقدمه التعقيم لأكثر من 100 نوع شائع من الملفات، بما في ذلك ملفات PDF وملفات Microsoft Office و HTML وملفات الصور والعديد من التنسيقات الخاصة بالمنطقة مثل JTD و HWP.
اتصل بنا لفهم المزيد عن OPSWAT التقنيات المتقدمة وحماية مؤسستك من الهجمات المتطورة بشكل متزايد.
مرجع:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
