可防!AutoCAD木马病毒再度出山,肆虐江湖

admin 2022年7月13日19:35:44评论138 views字数 1770阅读5分54秒阅读模式
可防!AutoCAD木马病毒再度出山,肆虐江湖

恶意文件分析

可防!AutoCAD木马病毒再度出山,肆虐江湖

1.恶意文件描述

近期,深信服深盾终端实验室在运营工作中捕获到一款潜伏已久的 AutoCAD 病毒,该病毒依赖 AutoCAD运行,以 fas 脚本的形式嵌入到 CAD 图纸中;此次捕获的样本具备隐藏属性,需要勾选显示隐藏文件才能显示。

可防!AutoCAD木马病毒再度出山,肆虐江湖
可防!AutoCAD木马病毒再度出山,肆虐江湖

2.恶意文件分析

fas 是一种可以在 AutoCAD 中快速加载并运行的脚本文件,在 AutoCAD 中可以通过 vlisp-compile 指令将 lsp文件编译成 fas 文件,这是一种遵循特定的格式的二进制文件,文件的末尾是该文件的编译时间。


可防!AutoCAD木马病毒再度出山,肆虐江湖


可以看出该文件在16年的时候就已经编译好了。


在分析这类文件是通常需要将 fas 反编译为 lsp 文件才能更深入的了解其行为,在这里我们可以借助工具将这类文件进行反编译。反编译的部分内容如下:


可防!AutoCAD木马病毒再度出山,肆虐江湖


首先是判断是时候存在 HC-YSL 函数,如果存在则调用;如果不存在。则定义一个 HC-YSL 函数,该函数的功能代码只有一行:(T (setq *ERROR* NULL)) 它的作用是将所有的代码执行错误都屏蔽。之后执行的 (VL-LOAD-COM)加载了 CAD 的扩展。之后判断是否存在vlisp-compile,如果存在则执行 HC-YSL 函数。


初始化完成之后便是定义 GC 函数,该函数内容较多,包含了该样本的所有功能,在该函数的内部定义了三个函数:


可防!AutoCAD木马病毒再度出山,肆虐江湖


第一个函数是 GC,该函数的作用是把 GC 函数取消掉,目的是为了防止加载的脚本中存在同名的函数;第二个函数是 *ERROR* 该函数的作用是每当调用 ERROR 时都会执行 SQRT 函数,需要注意的是,这里的 LOG 是已经被定为新的变量了并非内置的函数,除了 LOG 被修改之外还有其他函数也被重定义了:


可防!AutoCAD木马病毒再度出山,肆虐江湖


在第三个函数 SQRT 中首先通过 vlax-create-object 创建了一个 Microsoft.XMLHTTP 对象,之后通过~也就是 vl-string-subst 替换 msg 为 ERROR 函数传入的M参数拼接成一个 URL,并调用 Microsoft.XMLHTTP 的 open 方法发起一个 get 请求,紧接着又创建了一个 ADODB.Stream对象用于存储二进制流文件,设置好相关属性之后判断响应方向的大小是否大于 3000 如果是则将文件保存到当前目录的 slb.fas 文件中,保存之后通过 load 指令加载slb.fas 文件,加载之后通过 VL-FILE-DELETE 指令删除slb.fas,之后是通过 findfile 指令寻找 acad.fas 和acaddoc.fas,如果图纸所在的目录不存在 acad.fas 则拷贝 cad 安装路径中的 acad.fas 到图纸目录下并将属性设置为隐藏,之后将图纸所在目录的 acad.fas 覆盖安装路径下的 acad.fas。


可防!AutoCAD木马病毒再度出山,肆虐江湖


之后通过 Scriptlet.TypeLib 对象获取系统 UUID 且只保留大括号中间的内容且把-替换为空。

可防!AutoCAD木马病毒再度出山,肆虐江湖


之后再次对当前日期进行相关计算并通过 acad 对象获取CAD 的 localeid(区域ID)和 version (版本)属性并替换到 M 变量中最后传入 SQRT 函数中发送到远程服务器。

可防!AutoCAD木马病毒再度出山,肆虐江湖


由于该服务器已经失效,获取不到后续样本,所以无法进行更进一步分析。当前样本只具备感染、获取主机信息、远程加载文件的行为。

解决方案

可防!AutoCAD木马病毒再度出山,肆虐江湖

1.处置建议

1. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

2. 定期使用杀毒软件进行全盘扫描。

可防!AutoCAD木马病毒再度出山,肆虐江湖

2.深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;

可防!AutoCAD木马病毒再度出山,肆虐江湖

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


可防!AutoCAD木马病毒再度出山,肆虐江湖



原文始发于微信公众号(深信服千里目安全实验室):可防!AutoCAD木马病毒再度出山,肆虐江湖

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月13日19:35:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   可防!AutoCAD木马病毒再度出山,肆虐江湖http://cn-sec.com/archives/1175775.html

发表评论

匿名网友 填写信息