近日安全研究人员发现了一系列利用AutoCAD进行恶意软件分发的活动,主要攻击目标为能源企业。
活动的主要目的为窃取商业机密与收集网络情报,不排除日后发起破坏性攻击的可能。
AutoCAD是一款自动计算机辅助设计软件,可以用于绘制二维制图和基本三维设计,通过它无需懂得编程,即可自动制图,可用于建筑设计、工业制图、工程制图、电子制图等诸多领域,在全球建筑、能源、制造、市政、交通等诸多行业被广泛应用。
技术分析
1. 攻击者将AutoCAD(.cad)文件和包含恶意软件的(.fas)模块打入同一压缩包。这些(.fas)模块相当于AutoCAD设计软件的宏,与Word文件的宏类似。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而非VisualBasic或PowerShell。
2. 以压缩包为附件向目标企业员工鱼叉式网络钓鱼电子邮件。邮件内容为机械图、电路图、电路图等等,甚至以港珠澳大桥等重大项目作为邮件的“诱饵”。
钓鱼邮件中的附件cad文件之一
3. 受害者浏览附件AutoCAD时会自动运行.fas模块,虽然AutoCAD软件会弹出警报框,但一些受害者会忽视安全警报以便尽快浏览文档内容。
4. 恶意软件成功运行并尝试连接远程命令和控制(C&C)服务器以下载其他恶意软件。
缓解建议
使用TRUSTEDPATHS为可执行文件指定一个或多个可信文件夹,并将这些文件夹设置为只读。
禁止AutoCAD执行FAS和其他脚本模块
将LEGACYCODESEARCH系统变量设置为0,防止无意中从“开始”和“绘图”文件夹中查找和加载可执行文件
在怀疑系统上已安装恶意软件时开启安全模式(/ safemode)使用CAD管理员控制程序锁定以下系统变量:LEGACYCODESEARCH,SECURELOAD和TRUSTEDPATHS
部署主机安全防护系统,实时管控主机中的非法进程
警惕包含包含AutoCAD的CD / DVD或者U盘
(出于文件大小和保密的原因,许多设计和工程公司仍以这种方式传输图纸)
声明:本文来自安点安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
