ABD Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), "BLINDINGCAN" adlı yeni bir kötü amaçlı yazılım türüne karşı uyarıda bulunan Kötü Amaçlı Yazılım Analiz Raporu (AR20-232A) yayınladı. Bu, Kuzey Koreli devlet destekli bilgisayar korsanları tarafından, gizli istihbarat ve gizli bilgiler için askeri savunma ve havacılık sektörlerinde faaliyet gösteren hem ABD hem de denizaşırı şirketlere yönelik bir dizi saldırı gerçekleştirmek üzere oluşturulan bir uzaktan erişim Truva atıdır (RAT).
Bu blogda, tehdit aktörünün gizli taktiklerini analiz ediyor, kötü amaçlı yazılım bulaşma vektörünü ve yürütülmesini açıklıyor ve bu tür bir saldırıyı önlemek için çözüm sunuyoruz.
Enfeksiyon Vektörü
Kötü amaçlı yazılım, önde gelen savunma ve havacılık işletmelerinin iş ilanlarını taklit eden bir kimlik avı kampanyası yoluyla kurbanların sistemine enjekte edildi. Kurbanlardan, sonunda sistemlerine bulaşan ekli bir MS Word belgesini açmaları istenmiştir. Saldırı senaryoları tanıdık ve tespit edilmesi kolay gibi görünüyor. Ancak bu kampanyada Kuzey Koreli bilgisayar korsanları ekli belgede gömülü bir kötü amaçlı yazılım ya da VBA makrosu kullanmamış, ancak AttachedTemplate yöntemini kullanarak virüslü bir dosyayı açtıktan sonra harici bir kaynaktan indirip çalıştırmışlardır. Muhtemelen, harici nesne AV'leri atlatmak için çok aşamalı bir saldırı oluşturmak için kullanıldı. Bu kaçamak saldırı tekniği yeni değildir ancak tespit edilmeyi atlatmak ve hafifletmek için hala çok etkilidir.
MetaDefender Cloud tarafından gerçekleştirilen ayrıntılı tarama sonucunuburada bulabilirsiniz. Sadece 14/38 AV motoru tehdidi yakaladı.
Bu kaçamak numaranın neden tehlikeli olduğunu ve nasıl önlenebileceğini anlamak için aşağıda OLE nesnelerini kullanan 3 saldırı örneğini inceleyelim.
Gömülü nesne VS Makro VS ekli şablon, nasıl çalışırlar?
İlk demoda, kötü amaçlı yazılımı bir MS Word belgesine OLE nesnesi olarak ekledik.
Belge MetaDefender Cloud tarafından tarandığında, MetaDefender Cloud Microsoft Office dosyalarını ayıklamak için yapılandırılmamış olsa da, 9 AV gömülü kötü amaçlı yazılımı başarıyla tespit etti. Belge, ayıklamanın etkinleştirildiği MetaDefender Core (tam yapılandırma özelliklerine sahip şirket içi sürüm) tarafından taranırsa, kötü amaçlı yazılımı tespit eden daha fazla motor olacaktır.
İkinci demoda, kötü amaçlı yazılımı indirmek için gömülü bir Makro kullandık. Tehdidi tespit eden 4 motor vardı.
Son olarak, yukarıdaki kötü amaçlı yazılımı AttachedTemplate yöntemini kullanarak harici bir eicar dosyası ile değiştirdik. Sonuç olarak, yalnızca 1 AV tehdidi tespit edebildi.
Genel olarak, ilk demolarda, gömülü bir nesne olarak, kötü amaçlı yazılım AV'lerin kolayca tespit etmesini sağlayan "embeddings" klasöründe bulunur.
Ancak, ikinci ve üçüncü demolarda gösterildiği gibi bağlantılı bir nesne ise, AV'lerin tehdidi tespit etmesi çok daha zor olacaktır. Bu tür saldırılar, kurbanlar dosyayı açana kadar kötü amaçlı yazılım indirilmediği için imza tabanlı savunmalara karşı etkilidir.
Gömülü bir makro kullanan saldırılar için, bazı tespit tabanlı koruma sistemleri dosya içindeki kötü amaçlı kod sayesinde kötü amaçlı yazılımı tespit edebilir. Bununla birlikte, kötü amaçlı yazılım Ekli Belge Şablonundan yararlanarak harici bir kaynaktan indirildiğinde, tek şüpheli unsur XML dosyasındaki URL'dir. Ne yazık ki, piyasadaki mevcut AV'lerin çoğu URL'leri tarama yeteneğine sahip değildir. Ayrıca, kötü amaçlı URL her an değiştirilebilir.
Çözüm: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR algılamaya dayanmayan gelişmiş bir tehdit önleme teknolojisidir. Bunun yerine, tüm dosyaların kötü amaçlı olduğunu varsayar ve her dosyayı sterilize edip yeniden oluşturarak güvenli içerikle tam kullanılabilirlik sağlar. OLE nesnelerinin türü ne olursa olsun, Deep CDR bunları potansiyel tehdit nesneleri olarak tanımlar ve hepsini dosyadan kaldırır. Sonuç olarak, yukarıda bahsedilen 3 bulaşma vektörü de artık kullanılamaz. Kullanıcılar tam işlevselliğe sahip güvenli bir dosya alacaklardır.
Deep CDR tarafından işlendikten sonra, her üç örnek de tehdit içermemektedir. Görüntüler gibi gömülü dosyalar bile %100 tehdit önleme sağlamak için yinelemeli olarak sterilize edilir.
Deep CDR Kuruluşunuza giren her dosyanın zararlı olmamasını sağlayarak sıfırıncı gün saldırılarını ve kaçamak kötü amaçlı yazılımları önlemenize yardımcı olur. Çözümümüz PDF, Microsoft Office dosyaları, HTML, görüntü dosyaları ve JTD ve HWP gibi bölgeye özgü birçok format dahil olmak üzere 100'den fazla yaygın dosya türü için sanitizasyonu destekler.
OPSWAT gelişmiş teknolojileri hakkında daha fazla bilgi edinmek ve kurumunuzu giderek karmaşıklaşan saldırılara karşı korumak için bizimle iletişime geçin.
Referans:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
