OPSWAT发现BazarBackdoor 恶意软体经由CSV文件感染 - 该如何预防?

在今年二月，研究人员发现了一个新型网路钓鱼手法利用专门生成的CSV文件档将恶意软体「Bazar后门木马程式」感染到用户的设备中。我们将会于这篇文章中，针对攻击发生事件做分析并向你展示如何利用OPSWAT Deep CDR (Deep Content Disarm and Reconstruct) 深度档案清洗的技术来预防此次的攻击。

进攻的手法

在这次网路钓鱼的攻击活动里，网路犯罪分子利用 CSV 文件 - 包含用逗号分隔的文本列文件。 在许多情况下，第一行文本是每列的标题或描述。这种文件类型是在数据库和应用程式之间交换简单数据普遍的方式。由于 CSV 文件只是包含没有可执行程式码的文本，因此许多用户认为它无害，并在不小心的情况下快速打开文档。如果使用支持动态数据交换 (DDE) 的应用程式（例如 Microsoft Excel 和 OpenOffice Calc）打开 CSV 文件， 一般人并不会怀疑该文件可能是威胁媒介，而恶意软体就会以此方式通过该威胁媒介进入使用者的设备。这些应用程式便可以执行 CSV 文件中的公式和函数。

此威胁的幕后黑手滥用此 DDE 功能来执行任意命令，这些命令会下载并安装 BazarBackdoor 木马，从而从粗心的受害者设备中破坏并获得对公司网路的全部权限。与在 MS Office 文件中隐藏恶意巨集或 VBA 程式码这种流行攻击方法相比，隐藏在 DDE 文档中的威胁更难检测。

仔细检查文件，我们可以看到一个 =WmiC| 命令（Windows 管理界面命令）包含在数据列之一中。 如果受害者无意中允许此 DDE 函数运行，它将创建一个 PowerShell 命令。 然后，这些命令将打开一个远程 URL 以下载 BazarLoader，并 将 BazarBackdoor 安装在受害者的设备上。

OPSWAT Deep CDR 如何帮助您防御 DDE 攻击

您可以在电子邮件寄送到您的使用者前对其进行清理，从而保护您的网路免于受到复杂网路钓鱼活动的侵害。 我们必须随时警惕自己，任何文件都有可能是一个威胁，我们需要注重的是如何「预防它」而不是单纯仰赖「侦测」。Deep CDR深度档案清洗会移除所有文件内的主动式内容 (Active Content)  但仍保持文件的可用性。Deep CDR 是OPSWAT著名的MetaDefender 进阶威胁防护平台其中的一项技术，此平台的所有技术完全体现OPSWAT的「零信任理念」(Zero Trust Philosophy)。

以下是我们使用 MetaDefender Core 处理受感染的 CSV 文件后的清理细节（您也可以参考 MetaDefender Cloud 上的扫描结果）。 Deep CDR 中和了文件中的公式，因此没有创建 PowerShell 命令。 恶意软体也无法被下载。

在类似的攻击中，威胁的幕后黑手使用更复杂的公式来逃避检测。 通常，MS Excel 中的公式以等号 (=) 开头。 但是，由于此应用程式还接受以不同符号开头的公式，例如“=+”或“@”，而不仅仅是“=”，因此 CSV 文件中的破坏性公式可以是：

=+HYPERLINK("")
=-HYPERLINK("")
=@HYPERLINK("")
+@HYPERLINK("")
-@HYPERLINK("")

这些类型的公式可以避开一些常见的 CDR 系统。 但是，OPSWAT Deep CDR 可以轻松处理这种策略并输出乾净、安全的文件，从而消除威胁。

想了解更多如何保护您组织网路和用户安全的信息安全解决方案，欢迎查阅OPSWAT Deep CDR 网页或与 OPSWAT 的信息安全专家订个时间进行讨论。