O Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) dos EUA publicaram o Relatório de Análise de Malware (AR20-232A) alertando para uma nova estirpe de malware denominada "BLINDINGCAN". Trata-se de um cavalo de Troia de acesso remoto (RAT) criado por piratas informáticos patrocinados pelo Estado norte-coreano para realizar uma série de ataques contra empresas norte-americanas e estrangeiras que operam nos sectores da defesa militar e aeroespacial para obter informações confidenciais e secretas.
Neste blogue, analisamos as tácticas ocultas do agente da ameaça, descrevemos o vetor de infeção do malware e a sua execução, e fornecemos a solução para evitar este tipo de ataque.
Vetor de infeção
O malware foi injetado no sistema das vítimas através de uma campanha de phishing que imita anúncios de emprego de empresas líderes no sector da defesa e aeroespacial. Foi pedido às vítimas que abrissem um documento MS Word em anexo, que acabou por infetar os seus sistemas. Os cenários de ataque parecem ser familiares e fáceis de detetar. No entanto, nesta campanha, os hackers norte-coreanos não utilizaram malware incorporado ou macro VBA no documento anexado, mas usaram o método AttachedTemplate para descarregar um ficheiro infetado de uma fonte externa ao abri-lo e executá-lo. Possivelmente, o objeto externo foi utilizado para criar um ataque em várias fases para contornar os AVs. Esta técnica de ataque evasivo não é nova, mas continua a ser muito eficiente para contornar e atenuar a deteção.
Pode encontrar o resultado da análise detalhada efectuada pelo nosso MetaDefender Cloud aqui. Apenas 14/38 mecanismos AV detectaram a ameaça.
Vamos investigar 3 demonstrações de ataque utilizando objectos OLE para compreender porque é que este truque evasivo é perigoso e como o evitar.
Objeto incorporado VS Macro VS modelo anexado, como é que funcionam?
Na primeira demonstração, inserimos malware num documento do MS Word como um objeto OLE.
Tendo o documento digitalizado pelo MetaDefender Cloud, mesmo que MetaDefender Cloud não esteja configurado para extrair ficheiros do Microsoft Office, 9 AVs detectaram com sucesso o malware incorporado. Haverá mais motores a detetar o malware se o documento for analisado pelo MetaDefender Core (a versão local com capacidades de configuração completas), onde a extração está activada.
Para a segunda demonstração, utilizámos um Macro incorporado para descarregar o malware. Havia 4 motores a detetar a ameaça.
Por último, substituímos o malware acima por um ficheiro eicar externo utilizando o método AttachedTemplate. Como resultado, apenas 1 AV conseguiu detetar a ameaça.
De um modo geral, nas primeiras demonstrações, como objeto incorporado, o malware existe na pasta "embeddings", o que permite que os AVs o detectem facilmente.
No entanto, se for um objeto ligado, como mostrado na segunda e terceira demonstrações, será muito mais difícil para os AVs detectarem a ameaça. Estes tipos de ataques são eficazes contra as defesas baseadas em assinaturas, uma vez que o malware não é descarregado até que as vítimas abram o ficheiro.
Para os ataques que utilizam uma macro incorporada, alguns sistemas de proteção baseados na deteção podem identificar o malware graças ao código malicioso existente no ficheiro. No entanto, quando o malware é descarregado de uma fonte externa aproveitando o modelo de documento anexado, o único elemento suspeito é o URL no ficheiro XML. Infelizmente, a maioria dos AVs existentes no mercado não tem a capacidade de analisar URLs. Além disso, o URL malicioso pode ser alterado em qualquer altura.
Solution: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR™ Technology)
Deep CDR™ Technology is an advanced threat prevention technology that does not rely on detection. Instead, it assumes all files are malicious and sanitizes and rebuilds each file ensuring full usability with safe content. Regardless of what type of OLE objects, Deep CDR™ Technology identifies them as potential threat objects and removes all of them from the file. Consequently, all 3 infection vectors mentioned above are no longer usable. The users will receive a safe file with full functionality.
After being processed by Deep CDR™ Technology, all three samples are threat-free. Even embedded files like images are also recursively sanitized to ensure 100% threat prevention.
Deep CDR™ Technology ensures every file entering into your organization is not harmful helping you prevent zero-day attacks and evasive malware. Our solution supports sanitization for over 100 common file types, including PDF, Microsoft Office files, HTML, image files, and many regional-specific formats such as JTD and HWP.
Contacte-nos para saber mais sobre OPSWAT tecnologias avançadas e proteger a sua organização contra ataques cada vez mais sofisticados.
Referência:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
