O Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) dos EUA publicaram o Relatório de Análise de Malware (AR20-232A) alertando para uma nova estirpe de malware denominada "BLINDINGCAN". Trata-se de um cavalo de Troia de acesso remoto (RAT) criado por piratas informáticos patrocinados pelo Estado norte-coreano para realizar uma série de ataques contra empresas norte-americanas e estrangeiras que operam nos sectores da defesa militar e aeroespacial para obter informações confidenciais e secretas.
Neste blogue, analisamos as tácticas ocultas do agente da ameaça, descrevemos o vetor de infeção do malware e a sua execução, e fornecemos a solução para evitar este tipo de ataque.
Vetor de infeção
O malware foi injetado no sistema das vítimas através de uma campanha de phishing que imita anúncios de emprego de empresas líderes no sector da defesa e aeroespacial. Foi pedido às vítimas que abrissem um documento MS Word em anexo, que acabou por infetar os seus sistemas. Os cenários de ataque parecem ser familiares e fáceis de detetar. No entanto, nesta campanha, os hackers norte-coreanos não utilizaram malware incorporado ou macro VBA no documento anexado, mas usaram o método AttachedTemplate para descarregar um ficheiro infetado de uma fonte externa ao abri-lo e executá-lo. Possivelmente, o objeto externo foi utilizado para criar um ataque em várias fases para contornar os AVs. Esta técnica de ataque evasivo não é nova, mas continua a ser muito eficiente para contornar e atenuar a deteção.
Pode encontrar o resultado da análise detalhada efectuada pelo nosso MetaDefender Cloud aqui. Apenas 14/38 mecanismos AV detectaram a ameaça.
Vamos investigar 3 demonstrações de ataque utilizando objectos OLE para compreender porque é que este truque evasivo é perigoso e como o evitar.
Objeto incorporado VS Macro VS modelo anexado, como é que funcionam?
Na primeira demonstração, inserimos malware num documento do MS Word como um objeto OLE.
Tendo o documento digitalizado pelo MetaDefender Cloud, mesmo que MetaDefender Cloud não esteja configurado para extrair ficheiros do Microsoft Office, 9 AVs detectaram com sucesso o malware incorporado. Haverá mais motores a detetar o malware se o documento for analisado pelo MetaDefender Core (a versão local com capacidades de configuração completas), onde a extração está activada.
Para a segunda demonstração, utilizámos um Macro incorporado para descarregar o malware. Havia 4 motores a detetar a ameaça.
Por último, substituímos o malware acima por um ficheiro eicar externo utilizando o método AttachedTemplate. Como resultado, apenas 1 AV conseguiu detetar a ameaça.
De um modo geral, nas primeiras demonstrações, como objeto incorporado, o malware existe na pasta "embeddings", o que permite que os AVs o detectem facilmente.
No entanto, se for um objeto ligado, como mostrado na segunda e terceira demonstrações, será muito mais difícil para os AVs detectarem a ameaça. Estes tipos de ataques são eficazes contra as defesas baseadas em assinaturas, uma vez que o malware não é descarregado até que as vítimas abram o ficheiro.
Para os ataques que utilizam uma macro incorporada, alguns sistemas de proteção baseados na deteção podem identificar o malware graças ao código malicioso existente no ficheiro. No entanto, quando o malware é descarregado de uma fonte externa aproveitando o modelo de documento anexado, o único elemento suspeito é o URL no ficheiro XML. Infelizmente, a maioria dos AVs existentes no mercado não tem a capacidade de analisar URLs. Além disso, o URL malicioso pode ser alterado em qualquer altura.
Solução: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR é uma tecnologia avançada de prevenção de ameaças que não se baseia na deteção. Em vez disso, assume que todos os ficheiros são maliciosos e higieniza e reconstrói cada ficheiro, assegurando a total usabilidade com conteúdo seguro. Independentemente do tipo de objectos OLE, o Deep CDR identifica-os como potenciais objectos de ameaça e remove-os todos do ficheiro. Consequentemente, os 3 vectores de infeção acima mencionados deixam de ser utilizáveis. Os utilizadores receberão um ficheiro seguro com funcionalidade total.
Depois de serem processadas por Deep CDR, as três amostras estão livres de ameaças. Mesmo os ficheiros incorporados, como as imagens, são também recursivamente higienizados para garantir 100% de prevenção contra ameaças.
Deep CDR garante que todos os ficheiros que entram na sua organização não são prejudiciais, ajudando-o a evitar ataques de dia zero e malware evasivo. A nossa solução suporta a higienização de mais de 100 tipos de ficheiros comuns, incluindo PDF, ficheiros do Microsoft Office, HTML, ficheiros de imagem e muitos formatos específicos de cada região, como JTD e HWP.
Contacte-nos para saber mais sobre OPSWAT tecnologias avançadas e proteger a sua organização contra ataques cada vez mais sofisticados.
Referência:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
