当前位置:首页>行业洞察>利用AutoCAD传输恶意软件,攻击关键基础设施

利用AutoCAD传输恶意软件,攻击关键基础设施

近日安全研究人员发现了一系列利用AutoCAD进行恶意软件分发的活动,主要攻击目标为能源企业。

活动的主要目的为窃取商业机密与收集网络情报,不排除日后发起破坏性攻击的可能。

利用AutoCAD传输恶意软件,攻击关键基础设施

AutoCAD是一款自动计算机辅助设计软件,可以用于绘制二维制图和基本三维设计,通过它无需懂得编程,即可自动制图,可用于建筑设计、工业制图、工程制图、电子制图等诸多领域,在全球建筑、能源、制造、市政、交通等诸多行业被广泛应用。

技术分析

1.攻击者将AutoCAD(.cad)文件和包含恶意软件的(.fas)模块打入同一压缩包。这些(.fas)模块相当于AutoCAD设计软件的宏,与Word文件的宏类似。不同之处在于FAS模块使用Lisp编程语言作为其脚本,而非VisualBasic或PowerShell。

2. 以压缩包为附件向目标企业员工鱼叉式网络钓鱼电子邮件。邮件内容为机械图、电路图、电路图等等,甚至以港珠澳大桥等重大项目作为邮件的“诱饵”。

利用AutoCAD传输恶意软件,攻击关键基础设施

钓鱼邮件中的附件cad文件之一

3. 受害者浏览附件AutoCAD时会自动运行.fas模块,虽然AutoCAD软件会弹出警报框,但一些受害者会忽视安全警报以便尽快浏览文档内容。

4. 恶意软件成功运行并尝试连接远程命令和控制(C&C)服务器以下载其他恶意软件。

缓解建议

  •   √ 使用TRUSTEDPATHS为可执行文件指定一个或多个可信文件夹,并将这些文件夹设置为只读。
  •   √ 禁止AutoCAD执行FAS和其他脚本模块
  •   √ 将LEGACYCODESEARCH系统变量设置为0,防止无意中从“开始”和“绘图”文件夹中查找和加载可执行文件
  •   √ 在怀疑系统上已安装恶意软件时开启安全模式(/safemode)使用CAD管理员控制程序锁定以下系统变量:LEGACYCODESEARCH,SECURELOAD和TRUSTEDPATHS
  •   √ 部署主机安全防护系统,实时管控主机中的非法进程
  •   √ 警惕包含包含AutoCAD的CD / DVD或者U盘

(出于文件大小和保密的原因,许多设计和工程公司仍以这种方式传输图纸)

 

本文由 @大老鹰 发布于弱电智能网 。

题图来自Unsplash,基于CC0协议

内容观点仅代表作者本人,弱电智能网平台仅提供信息存储空间服务。

如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

文章名称:《利用AutoCAD传输恶意软件,攻击关键基础设施》

文章链接:https://www.ruodian360.com/news/3443.html

添加微信ydian188免费入群,记得备注“弱电智能网”。

给TA打赏
共{{data.count}}人
人已打赏
行业洞察

Peekaboo零日漏洞,影响全球800,000台视频监控设备

2018-12-3 11:47:00

行业洞察

施耐德Modicon M221全系PLC存在严重漏洞

2018-12-3 11:52:20

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
搜索