【奇技淫巧】利用CAD进行APT攻击

  • A+
所属分类:安全文章

【奇技淫巧】利用CAD进行APT攻击

       CAD 文件DWG文件 后面有acad.lsp 或者acaddoc.lsp 会自动加载  lsp能添加管理员账户
以下是感染部分(转的)
       最近自己的电脑中了CAD病毒,症状为打开一个dwg文件后,在该dwg文件所在目录下就会自动生成一个“acaddoc.lsp”文件,即使手工将其删除,下次打开dwg文件时又会自动生成。如果把dwg文件和acaddoc.lsp文件一起复制到另外一部未感染CAD病毒的电脑上,只要一打开该dwg文件,则该电脑就会被感染。因为这个CAD病毒是个lisp程序,花了些时间对病毒代码进行分析如下:
-----------------下面是病毒代码-----------------------------

【奇技淫巧】利用CAD进行APT攻击

【奇技淫巧】利用CAD进行APT攻击

【奇技淫巧】利用CAD进行APT攻击

【奇技淫巧】利用CAD进行APT攻击

【奇技淫巧】利用CAD进行APT攻击

       从以上对病毒代码的分析可知,该病毒的病毒文件有2个,一个为acadapq.lsp,位于ACAD安装目录下的support目录下,另一个为acaddoc.lsp,位于当前打开的dwg文件所在目录下,2个病毒文件的内容相同。病毒的工作原理是利用了AutoCAD会自动加载acaddoc.lsp文件的特性,在ACAD启动时自动加载的是support目录下的acaddoc.lsp文件;而当打开一个dwg时,如果该dwg文件所在目录下有acaddoc.lsp文件,则会优先自动加载该acaddoc.lsp文件,从而实现病毒的感染过程。

       已询问AUTOCAD官方,这是CAD的一种机制,关闭不了。


【奇技淫巧】利用CAD进行APT攻击

本文始发于微信公众号(T00ls):【奇技淫巧】利用CAD进行APT攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: