查看原文
其他

AutoCAD木马猖獗,安天智甲全面防护

安天CERT 安天集团 2022-09-12
点击上方"蓝字"关注我们吧!



01概述
近期,安天CERT监测到AutoCAD木马又开始活跃,针对我国重要企业进行渗透传播。
AutoCAD是一种商业计算机辅助设计(CAD)和绘图软件应用程序,由于其应用领域广泛,软件经专业人员应用设计后产出的成果价值巨大,引起了攻击者的关注。攻击者针对该软件开发窃密木马,使用软件特有的编程语言AutoLisp编写。该语言是Lisp语言的一种特有方言,专门用于AutoCAD软件的扩展。
最早的AutoCAD木马发现于2008年,当时使用邮箱传递窃取的数据。对于2022年6月的攻击活动,目前仅捕获到初始样本,C2地址已失效。从初始样本分析上看,攻击者利用AutoLisp语言编写木马,实现了信息收集、信息回传、远程下载并执行和持久化驻留等功能。从威胁分析看,不排除攻击者会在后续过程中窃取其他信息,投放勒索软件或窃密木马;从回传的信息看,通过回传目标系统时间、区域代码、AutoCAD版本,不排除攻击者依据这些信息开展针对性的攻击。
综合上述内容,安天CERT认为,AutoCAD木马威胁性较高,攻击者对于使用AutoCAD软件的个人和企业能够开展有针对性的攻击,且能造成影响较大的安全威胁。
经验证,安天智甲终端防御系统(简称IEP)Windows版本可实现对该木马的有效查杀和对用户终端的切实防护。


02

AutoCAD木马概况

2.1 AutoCAD木马攻击原理


从木马编写上看,AutoCAD木马采用的是AutoCAD软件内置的编程语言AutoLisp进行编写,实现信息获取并回传、远程下载执行、持久化驻留系统等功能;从木马样本文件类型上看,主要涉及Lsp、Fas两种文件类型,其中Lsp文件为AutoLisp编写的程序源文件即为文本文件。而Fas文件为Lsp文件经Visual Lisp编译后形成的编译文件,该文件不是通常情况下的可执行文件,无法直接运行,必须使用AutoCAD软件进行加载;从木马加载原理看,由于Lsp和Fas文件的特殊性,使其必须在AutoCAD软件下才能加载执行代码。而AutoCAD木马的加载执行主要利用了AutoCAD软件的两个方面进行,实现打开AutoCAD软件、创建新的图形文件、关闭所有图形文件等操作时触发木马的执行。一是利用软件加载特殊目录下的特定文件名的文件,如软件安装目录下的Support文件夹涉及的以acad、acaddoc为名的文件;二是利用AutoLisp的特定代码。

2.2 AutoCAD木马传播形式


目前,AutoCAD木马传播形式主要分为两类。初始投递上,攻击者主要通过将编译后的Fas文件嵌入至破解版AutoCAD软件或CAD项目文件中,结合软件共享网站平台或钓鱼邮件附件进行投递;目标系统传播上,拷贝自身到其他目录下或将恶意代码写入AutoCAD软件默认加载的Lsp文件中,实现长久驻留。在目标用户创建新的图形项目文件夹时,将自身拷贝到该文件夹中,随着目标传输整个项目文件夹时实现横向传播。


03

AutoCAD木马攻击事件梳理

2008年4月2日,AutoCAD论坛发布acad.fas文件被恶意软件利用的详情[1]

2012年6月20日,ESET发布有关ACAD/Medre.A蠕虫的报告[2]

2018年11月28日,Forcepoint发布有关AutoCAD木马异常活跃报告,报告显示大多数感染的机器来自中国、印度、土耳其和阿联酋[3]

2022年6月,AutoCAD木马对我国重要企业的渗透传播突然加剧,已有数十家企业单位遭受攻击[4]


04事件对应的ATT&CK映射图谱

针对本次攻击者向目标系统投放AutoCAD木马的攻击事件涉及的技术点进行ATT&CK图谱映射情况如下:

图4‑1 ATT&CK映射图谱

攻击者使用的技术点如下表所示:

表4‑1技术点详情

初始访问

利用面向公众的应用程序

将恶意文件嵌入至破解版的AutoCAD中

网络钓鱼

投递具备CAD盗图木马的AutoCAD设计文稿

执行

利用命令和脚本解释器

用AutoCAD加载执行CAD盗图木马

发现

查询注册表

查看注册表相关键

发现软件

查看AutoCAD软件信息

发现系统地理位置

获取系统区域代码

发现系统时间

获取系统当前日期

数据渗出

使用其他网络介质回传

使用不限于邮箱的媒介回传窃取的数据


05

安天智甲精准防护

针对AutoCAD木马的执行过程中涉及的持久化驻留目标系统、AutoCAD加载恶意文件、注册表操作等行为,安天智甲可实现全方位的精准防护。AutoCAD在动态加载其他文件时,最容易被恶意利用,安天智甲在AutoCAD加载可疑文件时及时弹窗提示用户,在恶意行为生效前即可自动拦截,保障系统环境和数据安全。

5.1 全盘扫描检测


通过全盘扫描和实时监控,安天智甲可对AutoCAD木马涉及的恶意fas文件进行有效查杀,实现终端安全的有效防护。

图5‑1 智甲全盘扫描检测

5.2 动态加载文件检测


由于fas文件或lsp文件需要被相应的软件AutoCAD加载才能执行其中恶意代码,通过动态加载文件检测模块,安天智甲可实时拦截AutoCAD软件加载可疑文件,实现终端安全有效防护。

图5‑2 智甲拦截动态加载可疑文件

5.3 注册表操作检测


通过注册表操作检测模块,安天智甲可实时拦截AutoCAD木马的注册表操作,阻止其在注册表中存储回传C2的系统信息,实现终端安全有效防护。

图5‑3 智甲拦截注册表可疑操作

智甲系统还具有统一管理中心,管理人员可通过智甲管理中心实现对网内安全事件的查看、分析、处置、确认的闭环操作,极大提高了安全运维工作的效率。

图5‑4 智甲管理中心告警界面

智甲终端防御系统是一款面向各类政企单位的终端安全防护产品,支持为办公机、服务器、虚拟化终端、移动设备等各类终端提供一体化的安全防护服务。产品具有病毒查杀、主动防御、勒索病毒防护、主机数据采集、安全深度分析、网络管控、入侵防护、威胁响应、资产管理、补丁管理、配置加固、主机审计与管控、威胁可视化等多种功能于一体,可以有效防御各类威胁攻击行为,保障用户业务与数据安全。

面向安全管理人员,产品提供灵活、高效的系统管理中心,支持通过管理中心实现终端安全一体化管理,帮助管理人员了解网内终端安全情况,查看安全事件详情,并向终端快速下发策略调整与处置指令。


06样本分析

恶意样本被加载后会尝试与C2地址进行连接,连接成功后获取slb.fas文件,加载文件并进行删除;根据获取的日期和GUID进行混淆处理并设置注册表项中dqs和dlr的值;在向C2回传数据时,涉及CAD软件版本、时间、系统区域,推测恶意攻击者会根据回传的数据开展具有针对性的窃密活动。

6.1 样本标签


表6‑1 Fas样本标签

病毒名

Trojan/JS.Duxfas     

文件MD5

DD0D27CC5ED557CFF69D23ABC417A5E3

文件原始名

Acad.fas

文件大小

16.2 KB (16,629 字节)

文件格式

SoftData/AutoCAD.FAS[:Fast-load AutoLISP FAS4]

编译时间

2021-09-03

编译语言

AutoLisp/Visual Lisp

VT首次上传时间

2022-06-16 02:04:44

VT检测结果

14 / 56

表6‑2 Fas样本标签

病毒名

Trojan[Downloader]/Acad.Qfas     

文件MD5

033216E77F7543EE7A1D44BE2889DD21

文件原始名

Acad.fas

文件大小

10.2 KB (10,464 字节)

文件格式

SoftData/AutoCAD.FAS[:Fast-load AutoLISP FAS4]

编译时间

2016-09-03

编译语言

AutoLisp/Visual Lisp

VT首次上传时间

2018-11-30 22:39:10

VT检测结果

29 / 58


表6‑3 Lsp样本标签

病毒名

Trojan/JS.Duxlsp

文件MD5

D0CB6645E97CF8A574E34E3AE5126054

文件原始名

acad.lsp

文件大小

2.26 KB (2,312 字节)

文件格式

Text/ISO_IEC.UTF8[:No bom]

文件源代码编程语言

AutoLisp/Visual Lisp

VT首次上传时间

2022-05-17 12:15:46

VT检测结果

1 / 57


6.2 acad.lsp样本分析


6.2.1 连接C2


创建XMLHTTP对象,用于后续请求C2地址:

图6‑1 创建XMLHTTP对象

请求C2地址,并将响应内容保存为slb.fas(部分样本将响应内容保存为tf.fas)文件:

图6‑2 连接C2并获取后续载荷


6.2.2 回传信息


通过GET方式访问C2,提交相关数据,其中涉及CAD软件版本、时间、系统区域,推测攻击者可针对提交的数据返回相应数据,进而有针对性的开展窃密活动。

图6‑3 请求C2时提交相关数据


6.2.3 加载下载的文件


加载slb.fas文件,而后删除该文件。

图6‑4 加载载荷后删除


6.2.4 持久化驻留


通过拷贝自身和修改AutoCAD软件系统变量实现对目标系统的长久驻留。

图6‑5 拷贝自身和修改AutoCAD软件系统变量

6.3 acad.fas样本动态分析


样本被加载后,请求C2域名:y.szmr.org,将获取的信息通过GET方式提交,C2服务器返回加密数据。此过程仅在第一次请求时返回数据,从动态监测结果看,后续C2连接失效,无法进行下一步载荷功能分析。

图6‑6 请求C2并返回数据
后续会在某个目录中创建tf.fas文件,通过AutoCAD命令进行加载,推测该文件为加密数据解密结果。且在多次加载acad.fas测试中发现,每次返回的加密数据均不一致,且创建的tf.fas文件也不一致。

图6‑7 加载新创建的fas文件


该文件被加载后,会请求另一个C2域名:cl.jzvu.info,目前该地址已失效,且未关联样本,无法进一步分析。

图6‑8 连接C2


07威胁排查

1. 排查安装AutoCAD软件的系统中是否存在“acad.lsp、acad.fas、acaddoc.lsp、acaddoc.fas、acadapp.fas、acadapp.fas、slb.fas、tf.fas”等文件,针对对应文件进行安全检测;

2. 通过AutoCAD的appload命令,打开加载应用程序窗口,利用终端防护系统对其加载的文件进行扫描;

3. 手动检查上述被加载的文本文件(lsp、mnl等)是否包含“szmr.org、jzvu.info”等域名,有则删除对应文件;

4. 通过流量监控设备过滤以往或正在与“*.szmr.org”、“*.jzvu.info”、“zxb.isdun.com”建立通信的主机,快速确定网络内感染的机器。


08防护建议

1. 安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统

2. 建议使用官方网站下载的正版AutoCAD软件。如无官方网站建议使用可信来源进行下载;

3. 对于邮件或其他非正常可信来源的AutoCAD项目文件,在查收后,立即进行安全威胁检测;

4. 企事业单位针对域名:*.szmr.org、*.jzvu.info、zxb.isdun.com进行封禁;

5. 在使用AutoCAD过程中弹出“安全性-未签名的可执行文件”窗口,对于不属于自我编译的文件,一律点击“不加载”按钮;

图8‑1 未签名的可执行文件加载提示

6. 不使用管理员权限运行AutoCAD,防止被恶意代码获取高权限执行;

7. 从不在未预先检查代码的情况下,运行未知的Lsp文件[5]


09IoCs


参考文献


[1] Virus using acad.fas(使用 acad.fas 的病毒)

https://forums.autodesk.com/t5/autocad-forum/virus-using-acad-fas/td-p/2220982

[2] ESET Uncovers ACAD/Medre.A Worm: Tens Of Thousands Of AutoCAD Design Files Leaked in Suspected Industrial Espionage(ESET揭示了ACAD/Medre.A蠕虫病毒:数以万计的AutoCAD设计文件因工业间谍活动而被泄露)https://www.eset.com/int/about/newsroom/press-releases/announcements/eset-uncovers-acadmedrea-worm-tens-of-thousands-of-autocad-design-files-leaked-in-suspected-industri/

[3] AutoCAD Malware-Computer Aided Theft(AutoCAD恶意软件-计算机辅助盗窃)

https://www.forcepoint.com/blog/x-labs/autocad-malware-computer-aided-theft

[4] 关于 CAD盗图木马病毒的紧急预警

https://nic.hzu.edu.cn/2022/0606/c878a227021/page.htm

[5] 关于安全性和病毒防护

https://knowledge.autodesk.com/zh-hans/support/autocad/learn-explore/caas/CloudHelp/cloudhelp/2019/CHS/AutoCAD-Core/files/GUID-9C7E997D-28F8-4605-8583-09606610F26D-htm.html

往期回顾


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存