近日安全研究人员发现了一系列利用AutoCAD进行恶意软件分发的活动,主要攻击目标为能源企业。
活动的主要目的为窃取商业机密与收集网络情报,不排除日后发起破坏性攻击的可能。
AutoCAD是一款自动计算机辅助设计软件,可以用于绘制二维制图和基本三维设计,通过它无需懂得编程,即可自动制图,可用于建筑设计、工业制图、工程制图、电子制图等诸多领域,在全球建筑、能源、制造、市*、交通等诸多行业被广泛应用。
技术分析
1.攻击者将AutoCAD(.cad)文件和包含恶意软件的(.fas)模块打入同一压缩包。这些(.fas)模块相当于AutoCAD设计软件的宏,与Word文件的宏类似。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而非VisualBasic或PowrShll。
2.以压缩包为附件向目标企业员工鱼叉式网络钓鱼电子邮件。邮件内容为机械图、电路图、电路图等等,甚至以港珠澳大桥等重大项目作为邮件的“诱饵”。
钓鱼邮件中的附件cad文件之一
3.受害者浏览附件AutoCAD时会自动运行.fas模块,虽然AutoCAD软件会弹出警报框,但一些受害者会忽视安全警报以便尽快浏览文档内容。
4.恶意软件成功运行并尝试连接远程命令和控制(C&C)服务器以下载其他恶意软件。
缓解建议
使用TRUSTEDPATHS为可执行文件指定一个或多个可信文件夹,并将这些文件夹设置为只读。
禁止AutoCAD执行FAS和其他脚本模块
将LEGACYCODESEARCH系统变量设置为0,防止无意中从“开始”和“绘图”文件夹中查找和加载可执行文件
在怀疑系统上已安装恶意软件时开启安全模式(/safmod)使用CAD管理员控制程序锁定以下系统变量:LEGACYCODESEARCH,SECURELOAD和TRUSTEDPATHS
部署主机安全防护系统,实时管控主机中的非法进程
警惕包含包含AutoCAD的CD/DVD或者U盘
(出于文件大小和保密的原因,许多设计和工程公司仍以这种方式传输图纸)
关于我们
安点科技是中国领先的工业控制网络信息安全威胁识别与防御技术提供商。依靠自身对安全技术的持续性研究,以及对行业需求的敏锐洞察力,帮助企业用户降低由网络安全风险带来的持续性的或重大的损失,从而获得企业战略性竞争优势。
目前,安点科技工控安全产品已广泛应用于电力、石油化工、*工生产、*工研究院所、数字矿山、先进制造等领域。
联系方式:
-
