AutoCAD Malware

443

Computer Aided Design (CAD) hat in den vergangenen Jahrzehnten eine entscheidende Rolle beim Aufbau unserer technologiegetriebenen Gesellschaft gespielt, indem Strukturen und Ingenieure zu neuen Komplexitätsniveaus verhelfen. Die Planung eines Gebäudes wie des Burj Khalifa von Hand wäre schwierig oder sogar unmöglich.

AutoCAD – wohl eine der bekanntesten und am weitesten verbreiteten CAD-Anwendungen – stand natürlich schon früh in der Geschichte von Cyber-Attacken. Dies wurde durch eine Reihe von Softwarefunktionen unterstützt, die die Benutzerfreundlichkeit verbessern sollen, indem Methoden zum automatischen Ausführen benutzerdefinierter LISP-basierter Skripts beim Starten von AutoCAD oder beim Öffnen eines Projekts bereitgestellt werden. Diese Funktion kann als analog zu Office-Makros betrachtet werden: legitime Tools, die sich leider auch für den böswilligen Gebrauch eignen.

AutoLISP ist ein AutoCAD-spezifischer Dialekt der LISP-Programmiersprache – selbst heutzutage eher ungewöhnlich. AutoLISP-Dateien können unterschiedliche Formen annehmen: Entweder behalten sie das ursprüngliche textbasierte Format bei (das fast wie jedes andere vom Menschen lesbare Skript aussieht), oder sie können in ein FastLoad-AutoLISP-Binärmodul (FAS) kompiliert werden.

Zum Schutz proprietärer benutzerdefinierter Skripts bietet AutoCAD sogar eine grundlegende Verschlüsselung für die kompilierten FAS-Module. Deren resultierende Dateiausgabe sieht nicht sinnvoll aus, wenn sie in einem Texteditor geöffnet wird. (Titelbild)

Wie es funktioniert

Automatisches Laden von LISP-Modulen
Die meisten historischen Malware-Programme für AutoCAD haben eine grundlegende Funktion zum automatischen Laden der Software genutzt, mit der Benutzer eigene, auf AutoLISP basierende Skripts erstellen und entweder beim Start der Anwendung oder beim Laden von Projektdateien ausführen können.

Es gibt eine begrenzte und zum Teil anpassbare Anzahl von Speicherorten, an denen AutoCAD nach zu ladenden Skripts oder Modulen sucht, aber bösartige Inhalte manifestieren sich natürlich nicht nur an diesen Speicherorten. Man könnte das automatische Laden von Modulen manuell in den entsprechenden Ordnern ablegen, dies erfordert jedoch entweder eine vorläufige Präsenz auf dem Zielcomputer oder etwas Social Engineering.

Mögliche Ziele

Unsere Telemetrie zeigt, dass die Infektion mindestens seit Ende 2014 noch vorhanden ist. Außerdem scheinen neue Opfer Mitte 2018 infiziert zu sein, wobei die Mehrzahl der infizierten Maschinen in China, Indien, der Türkei und den Vereinigten Arabischen Emiraten auftaucht.

Die Umkehrung der kontaktierten C2 – Domänen deutet darauf hin, dass die Akteure erfolgreich mehrere Unternehmen in mehreren Regionen anvisiert haben, wobei sich mindestens eine Kampagne wahrscheinlich auf den Energiesektor konzentrierte. Mehrere Unternehmen innerhalb oder mit Verbindungen zur Branche für erneuerbare Energien scheinen der EU zum Opfer gefallen zu sein Malware – und eine weitere, die hauptsächlich die Automobilindustrie betrifft.

Es ist jedoch zu beachten, dass die Verbreitung von Malware die Erkennung bestimmter Ziele zu einer ungenauen Kunst macht: Auch bei den Opfern gibt es alles, was von Baufirmen bis zu nationalen Straßenbewirtschaftungsbehörden reicht.

Schutz gegen unbeabsichtigte Modulausführung

Wie bei den meisten Herstellern hat Autodesk den Sicherheitsaspekten immer mehr Beachtung geschenkt und eine Reihe von Sicherheitsüberprüfungen implementiert, um zu verhindern, dass böswillige (oder sogar irgendwelche) Skripts unbeabsichtigt ausgeführt werden.

Ab AutoCAD 2014 gibt es Sicherheitsvariablen (TRUSTEDPATHS, SECURELOAD usw.), die steuern, welche ausführbaren Dateien (Module) automatisch geladen werden können, von welchem ​​Speicherort aus, und ob eine Popup-Warnung angezeigt wird, die dem Makro von Microsoft Word ähnelt die Einstellungen.
Diese können von der Anwendung aus einfach über den Befehl SECURITYOPTIONS gesteuert werden, indem Sie das externe CAD Manager Control Utility installieren oder die entsprechenden Registrierungseinträge manuell bearbeiten (z. B. HKCU\Software\Autodesk\AutoCAD\R23.0\ACAD-2001:409\Profiles\<<Unnamed Profile>>\Variables). Wenn diese ordnungsgemäß festgelegt und gesperrt sind, wird das Risiko einer unerwünschten Modulausführung stark verringert.

Beachten Sie, dass LT-Versionen von AutoCAD die externe Verwendung von AutoLISP nicht unterstützen und andere nicht anfällig für diese Art von Angriff sind.

Fazit

Deaktivieren Sie die Funktion zum automatischen Laden aus nicht vertrauenswürdigen Quellen. Stellen Sie sicher, dass vor der Ausführung eines Moduls immer eine Popup-Warnung angezeigt wird, und aktivieren Sie die Sichtbarkeit versteckter Dateien.
Da die meisten dieser Einträge über Registrierungseinträge gesteuert werden können, empfehlen wir IT-Administratoren dringend, diese durch Gruppenrichtlinien durchzusetzen.

Abonnieren Sie die wöchentlichen 3Druck.com-Newsletter. Jeden Montag versenden wir die wichtigsten Beiträge und Updates der Woche. Melden Sie sich jetzt kostenlos an.