新闻资讯

利用AutoCAD传输恶意软件,攻击关键基础设施

2019-07-15 admin

近日安全研究人员发现了一系列利用AutoCAD进行恶意软件分发的活动,主要攻击目标为能源企业。

活动的主要目的为窃取商业机密与收集网络情报,不排除日后发起破坏性攻击的可能。

 

利用AutoCAD传输恶意软件,攻击关键基础设施

利用AutoCAD传输恶意软件,攻击关键基础设施

 

AutoCAD是一款自动计算机辅助设计软件,可以用于绘制二维制图和基本三维设计,通过它无需懂得编程,即可自动制图,可用于建筑设计、工业制图、工程制图、电子制图等诸多领域,在全球建筑、能源、制造、市政、交通等诸多行业被广泛应用。

技术分析

1.攻击者将AutoCAD(.cad)文件和包含恶意软件的(.fas)模块打入同一压缩包。这些(.fas)模块相当于AutoCAD设计软件的宏,与Word文件的宏类似。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而非VisualBasic或PowerShell。

2. 以压缩包为附件向目标企业员工鱼叉式网络钓鱼电子邮件。邮件内容为机械图、电路图、电路图等等,甚至以港珠澳大桥等重大项目作为邮件的“诱饵”。

 

利用AutoCAD传输恶意软件,攻击关键基础设施

利用AutoCAD传输恶意软件,攻击关键基础设施

 

钓鱼邮件中的附件cad文件之一

3. 受害者浏览附件AutoCAD时会自动运行.fas模块,虽然AutoCAD软件会弹出警报框,但一些受害者会忽视安全警报以便尽快浏览文档内容。

4. 恶意软件成功运行并尝试连接远程命令和控制(C&C)服务器以下载其他恶意软件。

缓解建议

  √ 使用TRUSTEDPATHS为可执行文件指定一个或多个可信文件夹,并将这些文件夹设置为只读。

  √ 禁止AutoCAD执行FAS和其他脚本模块

  √ 将LEGACYCODESEARCH系统变量设置为0,防止无意中从“开始”和“绘图”文件夹中查找和加载可执行文件

  √ 在怀疑系统上已安装恶意软件时开启安全模式(/safemode)使用CAD管理员控制程序锁定以下系统变量:LEGACYCODESEARCH,SECURELOAD和TRUSTEDPATHS

  √ 部署主机安全防护系统,实时管控主机中的非法进程

  √ 警惕包含包含AutoCAD的CD / DVD或者U盘

(出于文件大小和保密的原因,许多设计和工程公司仍以这种方式传输图纸)