Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ont publié un rapport d'analyse des logiciels malveillants (AR20-232A) mettant en garde contre une nouvelle souche de logiciels malveillants baptisée "BLINDINGCAN". Il s'agit d'un cheval de Troie d'accès à distance (RAT) créé par des pirates informatiques parrainés par l'État nord-coréen pour mener une série d'attaques contre des entreprises américaines et étrangères opérant dans les secteurs de la défense militaire et de l'aérospatiale afin d'obtenir des renseignements confidentiels et des informations secrètes.
Dans ce blog, nous analysons les tactiques cachées de l'acteur de la menace, décrivons le vecteur d'infection du logiciel malveillant et son exécution, et fournissons la solution pour prévenir ce type d'attaque.
Vecteur d'infection
Le logiciel malveillant a été injecté dans le système des victimes par le biais d'une campagne d'hameçonnage qui imite les offres d'emploi des principales entreprises de défense et d'aérospatiale. Les victimes ont été invitées à ouvrir un document MS Word joint, qui a fini par infecter leur système. Les scénarios d'attaque semblent familiers et faciles à détecter. Cependant, dans cette campagne, les pirates nord-coréens n'ont pas utilisé de logiciels malveillants ou de macros VBA intégrés dans le document joint, mais ont utilisé la méthode AttachedTemplate pour télécharger un fichier infecté à partir d'une source externe lors de l'ouverture et de l'exécution du document. Il est possible que l'objet externe ait été utilisé pour créer une attaque en plusieurs étapes afin de contourner les antivirus. Cette technique d'attaque évasive n'est pas nouvelle mais reste très efficace pour contourner et atténuer la détection.
Vous trouverezici le résultat détaillé de l'analyse effectuée par notre MetaDefender Cloud . Seuls 14/38 moteurs AV ont détecté la menace.
Nous examinerons ci-dessous trois exemples d'attaques utilisant des objets OLE afin de comprendre pourquoi cette astuce est dangereuse et comment l'éviter.
Objet intégré VS Macro VS modèle attaché, comment fonctionnent-ils ?
Dans la première démonstration, nous avons inséré un logiciel malveillant dans un document MS Word sous la forme d'un objet OLE.
Lorsque le document est analysé par MetaDefender Cloud, même si MetaDefender Cloud n'est pas configuré pour extraire les fichiers Microsoft Office, 9 antivirus ont détecté avec succès le malware intégré. Un plus grand nombre de moteurs détecteront le malware si le document est analysé par MetaDefender Core (la version sur site avec des capacités de configuration complètes), où l'extraction est activée.
Pour la deuxième démonstration, nous avons utilisé une macro intégrée pour télécharger le logiciel malveillant. Quatre moteurs ont détecté la menace.
Enfin, nous avons remplacé le logiciel malveillant ci-dessus par un fichier eicar externe à l'aide de la méthode AttachedTemplate. En conséquence, seul un antivirus a pu détecter la menace.
Dans l'ensemble, dans les premières démonstrations, les logiciels malveillants sont intégrés dans le dossier "embeddings", ce qui permet aux logiciels antivirus de les détecter facilement.
En revanche, s'il s'agit d'un objet lié, comme le montrent les deuxième et troisième démonstrations, il sera beaucoup plus difficile pour les antivirus de détecter la menace. Ces types d'attaques sont efficaces contre les défenses basées sur les signatures, car le logiciel malveillant n'est pas téléchargé tant que les victimes n'ont pas ouvert le fichier.
Pour les attaques utilisant une macro intégrée, certains systèmes de protection basés sur la détection peuvent identifier le logiciel malveillant grâce au code malveillant contenu dans le fichier. Néanmoins, lorsque le logiciel malveillant est téléchargé à partir d'une source externe en utilisant le modèle de document joint, le seul élément suspect est l'URL dans le fichier XML. Malheureusement, la plupart des antivirus existants sur le marché n'ont pas la capacité d'analyser les URL. De plus, l'URL malveillante peut être modifiée à tout moment.
Solution : OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR est une technologie avancée de prévention des menaces qui ne repose pas sur la détection. Elle part du principe que tous les fichiers sont malveillants et procède à l'assainissement et à la reconstruction de chaque fichier afin d'en garantir l'utilisation complète avec un contenu sûr. Quel que soit le type d'objets OLE, Deep CDR les identifie comme des objets potentiellement dangereux et les supprime tous du fichier. Par conséquent, les trois vecteurs d'infection mentionnés ci-dessus ne sont plus utilisables. Les utilisateurs recevront un fichier sûr et pleinement fonctionnel.
Après avoir été traités par Deep CDR, les trois échantillons sont exempts de menaces. Même les fichiers intégrés, tels que les images, font l'objet d'un nettoyage récursif afin de garantir une prévention à 100 % des menaces.
Deep CDR garantit que chaque fichier entrant dans votre organisation n'est pas dangereux, ce qui vous aide à prévenir les attaques de type "zero-day" et les logiciels malveillants évasifs. Notre solution prend en charge l'assainissement de plus de 100 types de fichiers courants, y compris les fichiers PDF, Microsoft Office, HTML, les fichiers images et de nombreux formats régionaux spécifiques tels que JTD et HWP.
Contactez-nous pour en savoir plus sur les technologies avancées de OPSWAT et protéger votre organisation contre des attaques de plus en plus sophistiquées.
Référence :
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
