網絡犯罪份子利用Blender軟件的3D模型檔案散播資料盜竊工具,除了本身的問題外,還帶出免費開源程式對企業的影響,不受公司資安團隊的控制,而且危險並非來自安全漏洞,而是自身標準功能。
Blender和3D模型市集帶來的風險
Blender是一款3D圖像和動畫軟件套件,被不同行業的專業視覺化人士廣泛使用,軟件自身免費和開源,並提供額外功能,其中一個功能是支援執行Python腳本,藉此自動化任務和新增功能。軟件包讓用戶能夠從CGTrader或Sketchfab這種專門市集匯入外部文件,這些平台託管藝術家和工作室提供的付費和免費3D模型,這些模型都可以包含Python腳本,可導至令人擔憂的劇本,任何用戶都可上傳檔案到市集而不會經過惡意內容掃瞄,加上軟件具備自動執行Python腳本的功能,令檔案在被打開時自動執行內嵌的Python腳本,在用戶的電腦以不被發現的方式執行任意程式碼。
Blender檔案散播StealC V2資料盜竊工具
攻擊者在知名CGTrader平台發佈免費.blend副檔名的3D模型檔案,這些檔案含有惡意Python腳本,如果用戶開啟了Auto Run Python Script,下載和在Blender打開檔案解發腳本,然後與遠端伺服器建立連線,並從Cloudflare Workers網域下載惡意載具。載具會執行PowerShell腳本,從攻擊者的伺服器下載的額外惡意內容,最後受害者的電腦被StealC資料盜竊感染,讓攻擊者能夠:
- 從超過23個瀏覽器盜竊資料
- 從超過100個瀏覽器擴充插件和15個加密錢包應用程式收集資料
- 從Telegram、Discord、Tox、Pidgin、ProtoVPN、OpenVPN和電郵客端例如Thunderbird。
- 使用User Account Control(UAC)繞過方法
不被監察的工作工具的危險
問題不在於Blender自身,犯罪份子必定會嘗試利用任何流行軟件中的自動化功能,大部份用戶不會考慮開啟自動化功能的風險,也不會深入研究這些功能如何運作和可以怎樣被利用。核心的問題是保安團隊不會時刻熟識對被不同部門利用的特定工具含有的功能,他們的威脅模型中沒有考慮這個威脅來源。
避免成為受害者
如果公司有使用Blender,第一步是關閉自動執行1Python腳本功能,而預防從工作工具散播的威脅,我們建議:
- 禁止使用未被保安團隊批准的工具和擴充插作
- 在實施任何新服務或平台前,先對允許使用的軟件進行徹底審查評估風險
- 定期訓練員工認識安裝未知軟件和使用危險功能的風險
- 強制所有工作工具使用安全設定
- 使用現代保安方案保護所有公司裝置
資料來源:Kaspersky Blog
