AutoCAD木马概况
2.1 AutoCAD木马攻击原理
从木马编写上看,AutoCAD木马采用的是AutoCAD软件内置的编程语言AutoLisp进行编写,实现信息获取并回传、远程下载执行、持久化驻留系统等功能;从木马样本文件类型上看,主要涉及Lsp、Fas两种文件类型,其中Lsp文件为AutoLisp编写的程序源文件即为文本文件。而Fas文件为Lsp文件经Visual Lisp编译后形成的编译文件,该文件不是通常情况下的可执行文件,无法直接运行,必须使用AutoCAD软件进行加载;从木马加载原理看,由于Lsp和Fas文件的特殊性,使其必须在AutoCAD软件下才能加载执行代码。而AutoCAD木马的加载执行主要利用了AutoCAD软件的两个方面进行,实现打开AutoCAD软件、创建新的图形文件、关闭所有图形文件等操作时触发木马的执行。一是利用软件加载特殊目录下的特定文件名的文件,如软件安装目录下的Support文件夹涉及的以acad、acaddoc为名的文件;二是利用AutoLisp的特定代码。
2.2 AutoCAD木马传播形式
目前,AutoCAD木马传播形式主要分为两类。初始投递上,攻击者主要通过将编译后的Fas文件嵌入至破解版AutoCAD软件或CAD项目文件中,结合软件共享网站平台或钓鱼邮件附件进行投递;目标系统传播上,拷贝自身到其他目录下或将恶意代码写入AutoCAD软件默认加载的Lsp文件中,实现长久驻留。在目标用户创建新的图形项目文件夹时,将自身拷贝到该文件夹中,随着目标传输整个项目文件夹时实现横向传播。
AutoCAD木马攻击事件梳理
2008年4月2日,AutoCAD论坛发布acad.fas文件被恶意软件利用的详情[1]。
2012年6月20日,ESET发布有关ACAD/Medre.A蠕虫的报告[2]。
2022年6月,AutoCAD木马对我国重要企业的渗透传播突然加剧,已有数十家企业单位遭受攻击[4]。
针对本次攻击者向目标系统投放AutoCAD木马的攻击事件涉及的技术点进行ATT&CK图谱映射情况如下:
攻击者使用的技术点如下表所示:
|
初始访问 |
利用面向公众的应用程序 |
将恶意文件嵌入至破解版的AutoCAD中 |
|
网络钓鱼 |
投递具备CAD盗图木马的AutoCAD设计文稿 |
|
|
执行 |
利用命令和脚本解释器 |
用AutoCAD加载执行CAD盗图木马 |
|
发现 |
查询注册表 |
查看注册表相关键 |
|
发现软件 |
查看AutoCAD软件信息 |
|
|
发现系统地理位置 |
获取系统区域代码 |
|
|
发现系统时间 |
获取系统当前日期 |
|
|
数据渗出 |
使用其他网络介质回传 |
使用不限于邮箱的媒介回传窃取的数据 |
安天智甲精准防护
针对AutoCAD木马的执行过程中涉及的持久化驻留目标系统、AutoCAD加载恶意文件、注册表操作等行为,安天智甲可实现全方位的精准防护。AutoCAD在动态加载其他文件时,最容易被恶意利用,安天智甲在AutoCAD加载可疑文件时及时弹窗提示用户,在恶意行为生效前即可自动拦截,保障系统环境和数据安全。
5.1 全盘扫描检测
通过全盘扫描和实时监控,安天智甲可对AutoCAD木马涉及的恶意fas文件进行有效查杀,实现终端安全的有效防护。
5.2 动态加载文件检测
由于fas文件或lsp文件需要被相应的软件AutoCAD加载才能执行其中恶意代码,通过动态加载文件检测模块,安天智甲可实时拦截AutoCAD软件加载可疑文件,实现终端安全有效防护。
5.3 注册表操作检测
通过注册表操作检测模块,安天智甲可实时拦截AutoCAD木马的注册表操作,阻止其在注册表中存储回传C2的系统信息,实现终端安全有效防护。
智甲系统还具有统一管理中心,管理人员可通过智甲管理中心实现对网内安全事件的查看、分析、处置、确认的闭环操作,极大提高了安全运维工作的效率。
图5‑4 智甲管理中心告警界面
智甲终端防御系统是一款面向各类政企单位的终端安全防护产品,支持为办公机、服务器、虚拟化终端、移动设备等各类终端提供一体化的安全防护服务。产品具有病毒查杀、主动防御、勒索病毒防护、主机数据采集、安全深度分析、网络管控、入侵防护、威胁响应、资产管理、补丁管理、配置加固、主机审计与管控、威胁可视化等多种功能于一体,可以有效防御各类威胁攻击行为,保障用户业务与数据安全。
面向安全管理人员,产品提供灵活、高效的系统管理中心,支持通过管理中心实现终端安全一体化管理,帮助管理人员了解网内终端安全情况,查看安全事件详情,并向终端快速下发策略调整与处置指令。
恶意样本被加载后会尝试与C2地址进行连接,连接成功后获取slb.fas文件,加载文件并进行删除;根据获取的日期和GUID进行混淆处理并设置注册表项中dqs和dlr的值;在向C2回传数据时,涉及CAD软件版本、时间、系统区域,推测恶意攻击者会根据回传的数据开展具有针对性的窃密活动。
6.1 样本标签
|
病毒名 |
Trojan/JS.Duxfas |
|
文件MD5 |
DD0D27CC5ED557CFF69D23ABC417A5E3 |
|
文件原始名 |
Acad.fas |
|
文件大小 |
16.2 KB (16,629 字节) |
|
文件格式 |
SoftData/AutoCAD.FAS[:Fast-load AutoLISP FAS4] |
|
编译时间 |
2021-09-03 |
|
编译语言 |
AutoLisp/Visual Lisp |
|
VT首次上传时间 |
2022-06-16 02:04:44 |
|
VT检测结果 |
14 / 56 |
|
病毒名 |
Trojan[Downloader]/Acad.Qfas |
|
文件MD5 |
033216E77F7543EE7A1D44BE2889DD21 |
|
文件原始名 |
Acad.fas |
|
文件大小 |
10.2 KB (10,464 字节) |
|
文件格式 |
SoftData/AutoCAD.FAS[:Fast-load AutoLISP FAS4] |
|
编译时间 |
2016-09-03 |
|
编译语言 |
AutoLisp/Visual Lisp |
|
VT首次上传时间 |
2018-11-30 22:39:10 |
|
VT检测结果 |
29 / 58 |
表6‑3 Lsp样本标签
|
病毒名 |
Trojan/JS.Duxlsp |
|
文件MD5 |
D0CB6645E97CF8A574E34E3AE5126054 |
|
文件原始名 |
acad.lsp |
|
文件大小 |
2.26 KB (2,312 字节) |
|
文件格式 |
Text/ISO_IEC.UTF8[:No bom] |
|
文件源代码编程语言 |
AutoLisp/Visual Lisp |
|
VT首次上传时间 |
2022-05-17 12:15:46 |
|
VT检测结果 |
1 / 57 |
6.2 acad.lsp样本分析
6.2.1 连接C2
创建XMLHTTP对象,用于后续请求C2地址:
请求C2地址,并将响应内容保存为slb.fas(部分样本将响应内容保存为tf.fas)文件:
6.2.2 回传信息
通过GET方式访问C2,提交相关数据,其中涉及CAD软件版本、时间、系统区域,推测攻击者可针对提交的数据返回相应数据,进而有针对性的开展窃密活动。
6.2.3 加载下载的文件
加载slb.fas文件,而后删除该文件。
6.2.4 持久化驻留
通过拷贝自身和修改AutoCAD软件系统变量实现对目标系统的长久驻留。
6.3 acad.fas样本动态分析
样本被加载后,请求C2域名:y.szmr.org,将获取的信息通过GET方式提交,C2服务器返回加密数据。此过程仅在第一次请求时返回数据,从动态监测结果看,后续C2连接失效,无法进行下一步载荷功能分析。
该文件被加载后,会请求另一个C2域名:cl.jzvu.info,目前该地址已失效,且未关联样本,无法进一步分析。
1. 排查安装AutoCAD软件的系统中是否存在“acad.lsp、acad.fas、acaddoc.lsp、acaddoc.fas、acadapp.fas、acadapp.fas、slb.fas、tf.fas”等文件,针对对应文件进行安全检测;
2. 通过AutoCAD的appload命令,打开加载应用程序窗口,利用终端防护系统对其加载的文件进行扫描;
3. 手动检查上述被加载的文本文件(lsp、mnl等)是否包含“szmr.org、jzvu.info”等域名,有则删除对应文件;
4. 通过流量监控设备过滤以往或正在与“*.szmr.org”、“*.jzvu.info”、“zxb.isdun.com”建立通信的主机,快速确定网络内感染的机器。
1. 安装终端防护系统:安装反病毒软件,建议安装安天智甲终端防御系统;
2. 建议使用官方网站下载的正版AutoCAD软件。如无官方网站建议使用可信来源进行下载;
3. 对于邮件或其他非正常可信来源的AutoCAD项目文件,在查收后,立即进行安全威胁检测;
4. 企事业单位针对域名:*.szmr.org、*.jzvu.info、zxb.isdun.com进行封禁;
5. 在使用AutoCAD过程中弹出“安全性-未签名的可执行文件”窗口,对于不属于自我编译的文件,一律点击“不加载”按钮;
6. 不使用管理员权限运行AutoCAD,防止被恶意代码获取高权限执行;
7. 从不在未预先检查代码的情况下,运行未知的Lsp文件[5]。
参考文献
https://forums.autodesk.com/t5/autocad-forum/virus-using-acad-fas/td-p/2220982
[3] AutoCAD Malware-Computer Aided Theft(AutoCAD恶意软件-计算机辅助盗窃)
[4] 关于 CAD盗图木马病毒的紧急预警
[5] 关于安全性和病毒防护
原文始发于微信公众号(安天集团):AutoCAD木马猖獗,安天智甲全面防护
