Combattre l’attaque du télescope James Webb | Forcepoint

Télescope James Webb - Première image en couleur

(image: https://www.nasa.gov/image-feature/goddard/2022/nasa-s-webb-delivers-deepest-infrared-image-of-universe-yet)

Allez #WEBBFUSCATOR :

une attaque appelée ALLEZ#WEBBFUSCATOR Il s’agit d’une attaque malveillante sophistiquée en plusieurs étapes conçue pour infiltrer votre ordinateur.

Selon les meilleures connaissances de Securonix, « cette campagne s’adresse aux victimes dans différents pays » car ils publient leurs recherches. Cette attaque n’est pas détectée par tous les éditeurs d’antivirus, selon VirusTotal :

Photo Sécuronix(image: https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/)

Passer de la détection à la protection :

C’est un problème permanent avec les antivirus depuis sa création en 1987 lorsque Bernd Robert Un expert allemand en sécurité informatique a depuis créé le premier programme de suppression de virus .com, le Vienna Virus. La croissance de l’industrie antivirus se poursuit. à ce jour Avec des défauts mineurs, nous nous appuyons toujours sur des technologies basées sur la détection telles que les antivirus. Cela ne détecte que ce qu’ils ont vu auparavant, c’est-à-dire une nouvelle attaque. invisible Glissez-vous à travers les défenses traditionnelles.

C’est là que le programme Zero Trust Content Disarm and Reconstruction (CDR) de Forcepoint est différent. Au lieu d’essayer de détecter les logiciels malveillants On ne peut rien faire confiance. atténuer la menace des attaques zero-day et les exploits les plus avancés tels que ALLEZ #WEBBFUSCATOR.

STOP ATTACK GO#WEBBFUSCATOR :

Cette attaque de malware sophistiquée se compose de deux étapes. Il comprend la stéganographie, les outils Windows natifs et le contenu intégré malveillant en plusieurs étapes. Conçu pour contourner la sécurité réseau traditionnelle. Nous montrerons comment Zero Trust CDR peut arrêter les attaques à chaque étape. avant même qu’il ne soit révélé

Étape 1

L’attaque commence par des e-mails de phishing et les pièces jointes Microsoft Office cachées dans les documents sont des XML cachés contenant des références externes conçues pour télécharger des fichiers de modèles malveillants et les exécuter à l’aide d’outils natifs sur Windows.

Les images ci-dessous proviennent de la documentation originale faisant référence aux macros dangereuses. (disponible dans le modèle distant) La troisième ligne de settings.xml fait référence à « attachedTemplate » – cela fait référence aux macros malveillantes qui sont automatiquement extraites des domaines malveillants : XMLSchemeFormat.[.]com

    Domaine Malicios - XMLSchemeFormat[.]com

Cependant, si Zero Trust Content Disarm & Reconstruction (CDR) est intégré, les documents sont traités avant le téléchargement. Des informations utiles ont été extraites. Convertir en format intermédiaire et créer un nouveau document avant qu’il ne soit ouvert par l’utilisateur.

lorsque ALLEZ#WEBBFUSCATOR le document word est arrivé Nettoyé et converti par Zero Trust CDR, le XML suivant sera trouvé à la place de l’original, comme indiqué ci-dessous.

GO#WEBBFUSCATOR - XML ​​effacé

étape 2

Si l’étape 1 est réussie dans l’exécution Fichiers de modèles malveillantsalors l’image est dangereuse Somsak 0723, Il est extrait d’Internet et exécuté à partir d’une macro exécutée dans un document Microsoft Word.

L’image ci-dessous est l’original. Comme vous pouvez le voir, il existe les fichiers EXE encodés en Base64 suivants dans le propre tableau de pixels du JPEG :

EXE encodé en Base64 dans un tableau de pixels

C’est la façon normale d’afficher les images, si vous ouvrez l’image en tant que fichier texte, les EXE malveillants n’apparaîtront plus dans la vue texte de l’image car le processus Zero Trust CDR protège votre ordinateur contre les logiciels malveillants intégrés.
vue fichier image texte

Cela signifie que la deuxième étape de l’attaque Comme la première fois, il a été intercepté.

utilisation Les images ont longtemps été utilisées pour extraire des informations des organisations. Il s’agit d’une attaque en plusieurs étapes qui combine le harcèlement. Outils Windows natifs et contenus malveillants multi-étapes intégrés pour contourner la sécurité réseau traditionnelle.

Pourquoi est-ce si difficile à détecter ?

ci-dessous est Vue côte à côte d’une image couleur prise avec le télescope James Webb SMACS 0723, dont l’une contient un code malveillant qui lancera une attaque conçue pour infiltrer votre ordinateur avec des logiciels malveillants. et l’autre est une image sûre et sans malware.

Laquelle est dangereuse ?

L’image semble la même Les détails de la résolution sont les mêmes :

L'image semble la même  même résolution

La seule différence est la taille du fichier.

Il nous est impossible de compter sur nos employés au quotidien pour faire la différence. et comme le montre l’attaque ALLEZ#WEBBFUSCATOR Nous ne pouvons pas compter sur une protection basée sur la détection, comme les programmes antivirus. pour nous protéger Nous devons maintenant développer notre état d’esprit sur la cybersécurité. Il intègre des technologies telles que Zero Trust CDR pour assurer la sécurité des organisations aujourd’hui et à l’avenir.

Intégrer Zero Trust CDR dans votre système de sécurité :

La protection inégalée fournie par Zero Trust CDR permet également une excellente connectivité grâce à sa conception polyvalente. Prouver que les avantages de la protection en couches sont inégalés lors de l’utilisation de Zero Trust CDR pour améliorer la protection de l’entreprise. En fait, c’est ce que le vice-président de Forcepoint Eric Trexlerdevoir dire:

Source link