Özet
In July 2021, there was a sophisticated cyber intrusion utilizing a link to Google’s Feed Proxy service to download a harmful Microsoft Word file to the victims’ device. Once the macros were innocently enabled by users, a Hancitor payload dynamic-link library (DLL) was executed and called the ubiquitous Cobalt Strike tool, which dropped multiple payloads after profiling a compromised network. Within an hour, the attacker can gain domain admin privileges and full control over the domain. In this blog, we describe how OPSWAT Multiscanning solution - Metascan and Deep CDR™ Technology (Content Disarm and Reconstruction) found the potential threat and prevented this advanced attack.
Saldırı
Günümüzdeki pek çok siber saldırı gibi, bu saldırı da hedef ağdaki bir veya daha fazla kullanıcıya gönderilen bir kimlik avı e-postasıyla başladı. Kötü amaçlı yükleri indirmek için dosyalarda gizli makrolar kullanan saldırı taktiklerine aşinayız. Bu saldırı, gömülü makro yükleri doğrudan indirmediği, ancak zararlı yükleri indirmek için belgenin içindeki bir kabuk kodunu (OLE nesnesi) çıkardığı ve çalıştırdığı için daha da kaçamak ve karmaşıktır.
Hancitor trojan indiricisinin[1] gömülü kopyalarını yükleyebilen kötü amaçlı makrolar içeren bir Microsoft Word belgesi kullanıcılara gönderilmiştir. Kullanıcılar dosyadaki gizli makroları açıp etkinleştirdiklerinde, kurbanların appdata klasöründen bir DLL dosyası yazdı ve çalıştırdı. Ardından Hancitor DLL, Cobalt Strike[2] içeren çeşitli yükleri indirdi ve teslim etti. ve Ficker Stealer[3].
OPSWAT bu gelişmiş saldırıyı önlemenize nasıl yardımcı olabilir?
Zararlı MS Word dosyası OPSWAT MetaDefender ile tarandığında, yalnızca 17/35 anti-virüs motoru tehdidi bulmuştur. Bu, tek veya birkaç AV motoruyla taramanın kuruluşunuzu ve kullanıcılarınızı korumak için yeterli olmadığının kesin bir kanıtıdır. Kaçamak taktiklere sahip gelişmiş kötü amaçlı yazılımlar geleneksel savunmaları atlatabilir. Tek bir antivirüs motoru kötü amaçlı yazılımların %40-%80'ini tespit edebilir. OPSWAT Metascan 99'dan daha yüksek algılama oranlarına ulaşmak için şirket içinde ve bulutta 30'dan fazla kötü amaçlı yazılımdan koruma motoruyla dosyaları hızlı bir şekilde taramanıza olanak tanır.
However, the best approach to ensure your organization and users are protected from sophisticated and zero-day attacks is to sanitize all files with Deep CDR™ Technology. Files are evaluated and verified as they enter the sanitization system to ensure file type and consistency. Then, all file elements are separated into discrete components and potentially malicious elements are removed or sanitized. By providing a detailed sanitization report, Deep CDR™ Technology also enables administrators to analyze the malware behavior without any additional analysis tool. We demonstrate hereunder how Deep CDR™ Technology removed all potential threats in the file and provided a safe-to-consume file to users.
Processing the malevolent Word document with Deep CDR™ Technology, we found several active components, including an OLE object and four macros. We deobfuscated the code and saw that it tried to run (C:\Windows\System32\rundll32.exe C:\users\admin\appdata\roaming\microsoft\templates\ier.dll,HEEPUBQQNOG).
Sanitizasyon sonucunda gösterildiği gibi, belgedeki tüm aktif içerik dosyadan kaldırılmıştır. Gömülü nesnelerden biri (OLE nesnesi), kullanıcılara ulaşmadan önce etkisiz hale getirilmezse, Hancitor truva atını (ier.dll dosyası) kullanıcıların makinesine (istemeden etkinleştirdiklerinde) yükleyecektir.
Ağlarını korumak için, herhangi bir kuruluşun dahili çalışanlarına gönderilen tüm dosyaların / e-postaların güvenli olduğundan emin olması ve aynı zamanda dosya kullanılabilirliğini sağlaması hayati önem taşır. Güvenli dosyaları milisaniyeler içinde maksimum kullanılabilirlikle teslim ediyoruz, böylece iş akışınız kesintiye uğramıyor.
By sanitizing each file and removing any potential embedded threats, Deep CDR™ Technology effectively ‘disarms’ all file-based threats including - known and unknown threats; complex and sandbox aware threats; and threats that are equipped with malware evasion technology such as Fully Undetectable malware, VMware detection, obfuscation and many others.
Learn more about Deep CDR™ Technology or talk to an OPSWAT technical expert to discover the best security solution to prevent zero-day and advanced evasive malware.
1. Hancitor, diğer virüslerin sızması için 'arka kapılar' açan bir kötü amaçlı yazılım indiricisidir.
2. Cobalt Strike, siber suçlular tarafından takip eden kötü amaçlı yazılımlar sunmak için kullanılan bir uzaktan erişim aracıdır.
3. FickerStealer, hassas bilgileri ayıklamak için tasarlanmış bir bilgi hırsızı kötü amaçlı yazılımdır.
