社会工程学
与中国寻求陷阱西方技术(和西方人陷入汉语)的所有新闻,我们现在正在学习努力从设计公司窃取知识产权的努力。
读者写道,
我想你已经看到了这一点,但只是为了:
https://www.forcepoint.com/blog/security-labs/autocad-malware-computersed-theft.
自从DWG中引入VBA例程以来,我一直警告AutoCAD Malware,其中包括自动开放功能。瞄准Acad.lsp.lsp.lsp.(等)甚至可能更长,但总是需要社交工程,因为它仍然如今所做的那样。
- D. R.
未经授权访问AutoCAD和IP IT持有的IP不应令人惊讶,既不是Autodesk也不是用户。十年前,我记得阅读(和告诉你)。从2008年开始,这里是Autolisp如何用作恶意软件:
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name =virus:alisp/bursted.a.
新的攻击矢量
在新的攻击载体中,一个旨在保护IP的文件正在被用来窃取IP。的Acad.fas.文件旨在加密Autolisp例程,以便无法借用,提升或窃取代码。(正常情况下,AutoLISP代码在普通的ACSII文本中编写和运行,因此很容易检查,审核和被盗。)
AutoCAD限制了其对支持文件的搜索,例如Acad.fas.,特定文件夹。局外人不知道项目文件夹的名称。(有一些默认文件夹。)所以这里是解决方案,因为forfoint描述了它:
更容易更明显的解决方案是在项目文件旁边包含[恶意软件]模块,让用户通过加载它们并自动执行脚本以及与之执行的工作。
社会工程部分 - 即将用户欺骗投入项目 - 使用一组诱饵图(在这种情况下,从已经感染的受害者中显然是真实的图纸),可以选择反映目标公司的利益。
例如,对施工业务感兴趣的公司可以轻松地针对假装作为混凝土基地,金属合金结构或复杂建筑设计或正在进行的任何元件的项目名称。
这些诱饵通常是先前获得并变得武器化的完全合法项目的一部分。
这个怎么运作
在过去的几个月里,ForcePoint发现了300个包含100个版本的图纸包装Acad.fas.文件属性设置为只读和隐藏的恶意软件。这 。Fas.代码集系统变量Acadlspasdoc.= 1,告诉AutoCAD加载常见Acad.lsp.lsp.lsp.每次操作员打开另一个绘图时,文件(由Autodesk记录)。的目的是Acad.lsp.lsp.lsp.文件是在AutoCAD中加载其他程序。
通过操作员打开的每个图形,恶意软件了解其他项目文件夹,然后将自己复制到其中。使用AutoCADCdate.(当前日期和时间)系统变量,恶意软件尝试每24小时通过其主人进行一次通信一次,该服务器在中文中运行 - 就是在找到源的情况下。
AutoCAD保护如何运作
如果您使用AutoCAD 2014或更新,则Autodesk提供了以形式的保护
- 系统变量TrustEdpaths.指定AutoCAD可以打开文件的文件夹;看https://knowledge.autodesk.com/support/autocad/learn-explore/caas/cloudhelp/cloudhelp/2019/enu/autocad-core/files/guid-2fb4611d-f141-48d5-9b6e- 460eb59351af-htm.html?st = trustedpaths.
- 系统变量secueload.只允许位于TrustEdPaths中的代码加载到AutoCAD中;看https://knowledge.autodesk.com/support/autocad/learn-explore/caas/cloudhelp/cloudhelp/2019/enu/guidad-core/files/guid-541566/files/guid-541566c6-2738- 49dd -8738-49dd-87c3-c1490e924a02-htm.html?st = secureload.
- 命令安全选项设置AutoCAD的安全级别;看https://knowledge.autodesk.com/support/autocad/learn-explore/caas/cloudhelp/cloudhelp/2019/enu/geach-core/files/guid-2199a941-e183-4cac -941de64-htm.html?st = securityoptions.
- 外部CAD Manager控件实用程序允许CAD管理器打开其控制下所有计算机的这些设置;它包含在AutoCAD安装中。
然而,恶意软件通过将自己作为合法的项目呈现出来,击败了TrustEdpaths和Secureload的有用性。
谁受到影响?
恶意软件主要针对位于中国,印度,土耳其和阿联酋的能源和汽车设计公司,但其中一些在美国也受到影响。ForcePoint认为,当CAD操作员将USB驱动器插入他的机器时,将引入恶意软件,从快递从一个显然值得信赖的来源收到的。
在软件方面难以解决问题,因为AutoLISP和其他第三方代码在整个AutoCAD中广泛使用,从简单的下拉菜单到运行设计自动化例程。
解决方案在硬件方面。设计公司,谁严重采取安全,删除USB端口和DVD驱动器,允许其计算机仅访问内部服务器。内部切断没有与世界外面的联系。
我不同意。在软件方面解决问题是非常简单的,并且实际上已经解决了与lefacycodesearch系统变量的AutoCAD 2016(SecurityOptions中的其中一个可用的东西)解决。难怪有任何需要在开始或绘制文件夹中自动加载任何代码(例如Acad.fas),并且此系统变量允许您关闭该功能。我知道一个人使用这个设施做项目特定的启动东西,但它很少见,还有替代机制。
upshot:设置LefacyCodesearch = 0,问题消失了。作为CAD Manager,在创建安装部署时设置等效,并且还可以指定用户无法覆盖它。
我向Autodesk提出了这样一个简单的解决方案,多年后它才被实现。令人沮丧的是,当人们最终开始关注这一问题时,许多最初的努力都投入到更加复杂、麻烦和不完全有效的安全措施上。最终,一个合适的解决方案出现了,但数百万用户常年暴露在不必要的风险中。
幸运的是,在Bricscad,Acad.fas只是被忽略,所以这些病毒什么都不做。有可能写一个等效的特写镜头,但没有人有 - 所以现在我们可以在没有lefacycodesearch的情况下获得。
发布者:史蒂夫约翰逊|2018年12月17日在04:33 AM
D.R.回复:
我认为这种攻击背后的主要想法是使用AutoCAD项目。您不发送DWG(不能用这种方式感染),但您发送完整的项目(通过USB,CD或邮件)。
该项目包含多个DWG(XREF),也许是一些支持文件(形状/字体)和隐藏的ACC.LSP / FAS。由于AutoCAD自动运行ACC.LSP从项目文件夹(我认为它的DIVE)中,使用该项目感染系统。
发布者:拉尔夫Grabowski.|2018年12月17日在07:05 AM
这就是我在评论中写的重点:您可以(并且应该!)在2016年及以后关闭该自动加载。默认情况下,它就像它应该一样。请看文档LeBacyCodesearch.。
发布者:史蒂夫约翰逊|2018年12月17日在05:28 PM