ABD Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), "BLINDINGCAN" adlı yeni bir kötü amaçlı yazılım türüne karşı uyarıda bulunan Kötü Amaçlı Yazılım Analiz Raporu (AR20-232A) yayınladı. Bu, Kuzey Koreli devlet destekli bilgisayar korsanları tarafından, gizli istihbarat ve gizli bilgiler için askeri savunma ve havacılık sektörlerinde faaliyet gösteren hem ABD hem de denizaşırı şirketlere yönelik bir dizi saldırı gerçekleştirmek üzere oluşturulan bir uzaktan erişim Truva atıdır (RAT).
Bu blogda, tehdit aktörünün gizli taktiklerini analiz ediyor, kötü amaçlı yazılım bulaşma vektörünü ve yürütülmesini açıklıyor ve bu tür bir saldırıyı önlemek için çözüm sunuyoruz.
Enfeksiyon Vektörü
Kötü amaçlı yazılım, önde gelen savunma ve havacılık işletmelerinin iş ilanlarını taklit eden bir kimlik avı kampanyası yoluyla kurbanların sistemine enjekte edildi. Kurbanlardan, sonunda sistemlerine bulaşan ekli bir MS Word belgesini açmaları istenmiştir. Saldırı senaryoları tanıdık ve tespit edilmesi kolay gibi görünüyor. Ancak bu kampanyada Kuzey Koreli bilgisayar korsanları ekli belgede gömülü bir kötü amaçlı yazılım ya da VBA makrosu kullanmamış, ancak AttachedTemplate yöntemini kullanarak virüslü bir dosyayı açtıktan sonra harici bir kaynaktan indirip çalıştırmışlardır. Muhtemelen, harici nesne AV'leri atlatmak için çok aşamalı bir saldırı oluşturmak için kullanıldı. Bu kaçamak saldırı tekniği yeni değildir ancak tespit edilmeyi atlatmak ve hafifletmek için hala çok etkilidir.
MetaDefender Cloud tarafından gerçekleştirilen ayrıntılı tarama sonucunuburada bulabilirsiniz. Sadece 14/38 AV motoru tehdidi yakaladı.
Bu kaçamak numaranın neden tehlikeli olduğunu ve nasıl önlenebileceğini anlamak için aşağıda OLE nesnelerini kullanan 3 saldırı örneğini inceleyelim.
Gömülü nesne VS Makro VS ekli şablon, nasıl çalışırlar?
İlk demoda, kötü amaçlı yazılımı bir MS Word belgesine OLE nesnesi olarak ekledik.
Belge MetaDefender Cloud tarafından tarandığında, MetaDefender Cloud Microsoft Office dosyalarını ayıklamak için yapılandırılmamış olsa da, 9 AV gömülü kötü amaçlı yazılımı başarıyla tespit etti. Belge, ayıklamanın etkinleştirildiği MetaDefender Core (tam yapılandırma özelliklerine sahip şirket içi sürüm) tarafından taranırsa, kötü amaçlı yazılımı tespit eden daha fazla motor olacaktır.
İkinci demoda, kötü amaçlı yazılımı indirmek için gömülü bir Makro kullandık. Tehdidi tespit eden 4 motor vardı.
Son olarak, yukarıdaki kötü amaçlı yazılımı AttachedTemplate yöntemini kullanarak harici bir eicar dosyası ile değiştirdik. Sonuç olarak, yalnızca 1 AV tehdidi tespit edebildi.
Genel olarak, ilk demolarda, gömülü bir nesne olarak, kötü amaçlı yazılım AV'lerin kolayca tespit etmesini sağlayan "embeddings" klasöründe bulunur.
Ancak, ikinci ve üçüncü demolarda gösterildiği gibi bağlantılı bir nesne ise, AV'lerin tehdidi tespit etmesi çok daha zor olacaktır. Bu tür saldırılar, kurbanlar dosyayı açana kadar kötü amaçlı yazılım indirilmediği için imza tabanlı savunmalara karşı etkilidir.
Gömülü bir makro kullanan saldırılar için, bazı tespit tabanlı koruma sistemleri dosya içindeki kötü amaçlı kod sayesinde kötü amaçlı yazılımı tespit edebilir. Bununla birlikte, kötü amaçlı yazılım Ekli Belge Şablonundan yararlanarak harici bir kaynaktan indirildiğinde, tek şüpheli unsur XML dosyasındaki URL'dir. Ne yazık ki, piyasadaki mevcut AV'lerin çoğu URL'leri tarama yeteneğine sahip değildir. Ayrıca, kötü amaçlı URL her an değiştirilebilir.
Çözüm: OPSWAT Deep Content Disarm and Reconstruction Deep CDR™ Teknolojisi)
Deep CDR™ Teknolojisi, algılamaya dayalı olmayan gelişmiş bir tehdit önleme teknolojisidir. Bunun yerine, tüm dosyaların kötü amaçlı olduğunu varsayar ve her dosyayı temizleyip yeniden oluşturarak güvenli içerikle tam kullanılabilirlik sağlar. Deep CDR™ Teknolojisi, OLE nesnelerinin türü ne olursa olsun, bunları potansiyel tehdit nesneleri olarak tanımlar ve dosyalardan tamamen kaldırır. Sonuç olarak, yukarıda bahsedilen 3 enfeksiyon vektörü artık kullanılamaz hale gelir. Kullanıcılar, tam işlevselliğe sahip güvenli bir dosya alırlar.
Deep CDR™ Teknolojisi ile işlendikten sonra, üç örnek de tehdit içermez hale gelir. Görüntüler gibi gömülü dosyalar bile %100 tehdit önleme sağlamak için yinelemeli olarak temizlenir.
Deep CDR™ Teknolojisi, kuruluşunuza giren her dosyanın zararlı olmadığından emin olarak sıfırıncı gün saldırılarını ve kaçak kötü amaçlı yazılımları önlemenize yardımcı olur. Çözümümüz, PDF, Microsoft Office dosyaları, HTML, görüntü dosyaları ve JTD ve HWP gibi birçok bölgeye özgü format dahil olmak üzere 100'den fazla yaygın dosya türünün temizlenmesini destekler.
OPSWAT gelişmiş teknolojileri hakkında daha fazla bilgi edinmek ve kurumunuzu giderek karmaşıklaşan saldırılara karşı korumak için bizimle iletişime geçin.
Referans:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
