软件
产品
云盘传播 恶意软件 的问题一直存在 网络犯罪 历史,包括托管恶意文件和直接提供恶意软件,甚至把恶意软件变成命令及控制(C&C)基础设施的一部分。当被Winnti黑客组织用作C&C通信管道时,GituHub就会被滥用。这个问题在7月份的时候,曾有CTO讨论过, 云存储并不能抵御勒索软件,在伸缩性、安全层及备份几个方面各有利弊
针对Autodesk®A360的攻击是一次类似但相对简单和缺乏创意的攻击,这就像文件共享网站被用于托管恶意软件之用一样。将A360作为恶意软件交付平台使用,攻击就不会引起注意。这就好比Google Drive被用作盗窃数据存储库一样。
我们在 远程控制工具 (RAT)研究中看到的载荷也很显著。我们发现,在下载并执行后,RAT/后门将返回到各自C&C服务器上,可通过DNS服务免费解析。这并不是一项新技术,但感染指标(IoC)相关性表明,网络犯罪活动利用该平台的潜在可能性。
Autodesk®A360(A360)是基于云的工作空间会集中、连接和组织您的团队和项目信息在您的桌面、Web和移动设备。该套件包括Autodesk® A360 Drive和Autodesk® A360 Team服务。A360 Drive提供在线联机存储服务。您可以免费创建账户并获得5G空间。该服务可与Google Drive或其他在线文件共享托管服务相媲美。您可以通过浏览器或桌面上传文档、共享文档/文件,并邀请其他人查看(或编辑,根据个人限制)您的内容。
网络犯罪分子需要做的只是创建一个免费账户、上传恶意payload,并在选择的入门载体中嵌入URL,如带有恶意宏的Word文件。可通过直接访问api.autodesk[.]com并指定文件标识符(如 http[s]://api.autodesk[.]com/shared/<identifier> ),来访问载荷。
智能防护网络的遥测技术指出,某些URL(见附录)在2017年8月使用的最多。进一步的URL研究,这些被滥用的A360 URL导致大量恶意软件。
Zeus/Zbot KINS银行恶意软件变种
例如,我们看到A360 Drive-hosted archive(由趋势科技检测的Order_scan20170000971771010000#.zip)含有类似命名的可执行文件(.exe),其中嵌有模糊Visual Basic文件。去模糊化后发现它是一个Zeus/Zbot KINS银行恶意软件变种。
NETWIRE远程控制工具
我们还看到一组文件(JAVA_KRYPTIK.NPP)包含一个Java Archive(JAR)和一个.exe文件。去模糊化后,其中一个JAR文件(货运单据01 2208201738382.zip)包含一个可执行压缩文件(BKDR_NETWIRE.DB)包含字符串引用,它是NETWIRE远程控制工具的一个变种,具有键盘记录和SOCKS代理能力。
Adwind远程控制工具
另一个JAR文件(JAVA_ADWIND.JEJPDY)是jRAT的一个变种,可与C&C服务器连接,提供免费的动态DNS服务,即duckdns[.]org和chickenkiller[.]com。jRAT(又名Adwind)可以检索和过滤繁杂的数据,包括凭证、击键记录和多媒体文件。
图1 显示JAVA_ADWIND.JEJPDY C&C服务器的代码快照
我们扩大了在VirusTotal上的搜索,发现自2017年6月以来一些恶意文件被托管在A360 Drive上,8月出现激增(详见附件下载)。这些恶意文件通常为远程访问工具,是模糊化的EXE文件或Java压缩文件。这些被托管在A360 Drive上的恶意软件好像并未用于针对性攻击,至少目前还没有;我们将继续监控,观察是否有变化。
智能保护网络可显示恶意软件的全球分布,美国、南非、法国、意大利、德国、香港、和奥地利是受影响最严重的国家。
图 2 托管在 A360 Drive 上的恶意软件分布
一个名为AMMO REQUEST MOD Turkey.doc” (W2KM_DROPPR.XWD)的文档引起了我们的兴趣。我们注意到,8月24日它在罗马尼亚被上传到VirusTotal,我们的传感器也检测到了同一时期的分布情况。乍一看,该文档并没有什么特别,它使用的是通用模板传播宏恶意软件。
图 3 与 A360 Drive 滥用相关的样本攻击链
图 4 W2KM_DROPPR.XWD 要求用户点击 “ 启用内容 ” , 运行恶意宏
若启用宏,它就可以阅读全部文档内容,并搜索长字符串(图中红色部分)。通常,该字符串在DOC文件的结尾处。字符串(红色标记)后面的二进制数据和短字符串(绿色标记)进行异或运算。
解密后的载荷是恶意的PowerShell脚本,可从A360 Drive上下载和执行文件。下载的Payload是Visual Basic可执行文件。去模糊化该文件后表明,这是一个包含木马病毒远程控制工具(RAT)。它在各个网站和论坛上都有广告、出售和破解。
这种包含恶意payload的邮件似乎集中分布在东欧。克罗地亚是受影响最严重的国家,其次是德国、希腊和土耳其。
图 5 恶意宏搜索的代码串
图 6 文档结尾的加密(左)和解密(右)payload
图7 关于Remcos RAT的广告
二月初,Remcos RAT成为头条新闻;早在2016年初,它就被宣扬是黑客论坛的一项服务,而我们确实看到Remcos RAT正在积极推进。例如,八月中旬,我们看到Remcos RAT提交恶意PowerPoint幻灯片,通过CVE-2017-0199漏洞利用。值得一提的是,2017年3月,我们发现终端上的Remcos RAT受到销售点(PoS)恶意软件MajikPOS的影响。Remcos RAT被用作端点的MajikPOS切入点之一。
这些威胁说明PowerShell是如何滥用将恶意软件发送到系统中,尤其是在毫无防备的用户打开恶意文档后。确保合法系统管理工具(如PowerShell)的使用安全有助于减少威胁,并限制滥用。具体而言,最终用户可实行安全邮件网关,通过自定义沙箱查看进入环境的邮件内容。趋势科技用户实施InterScan Messaging、ScanMail Suite和Hosted Email Security,可防护此类威胁。
云存储平台也遭到滥用,常常使恶意制品进入工作场所机器。通过在企业内部实行安全网络网关解决方案(趋势科技的InterScan Web Security),可防止Web流量扫描。
我们已将这些发现披露给Autodesk,并主动与其合作,打击滥用URL和部署其他犯错时,防止A360 Drive的进一步滥用。附件内容为上述恶意软件相关的IoC列表和自2017年8月以来在VirusTotal上发现的一系列相关恶意文件。
点击这里下载
原文发布时间:2017年9月7日
本文由:趋势科技发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/utodesk-a360-drive-malware
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
免责声明:本文系网络转载或改编,未找到原创作者,版权归原作者所有。如涉及版权,请联系删
技术文档
热门文章
155-2731-8020
