一、背景概述

CAD（Computer Aided Design）是利用计算机及其图形设备帮助设计人员进行设计工作的简称。AutoCAD是国际最知名的CAD设计软件，在我国也有广泛应用。

2018年11月，网上出现了一种针对AutoCAD用户的窃密木马，被称为“CAD盗图木马”。国资国企安全运营中心近期发现该木马对中央企业的渗透传播突然加剧，已有数十家央企单位遭受攻击。

鉴于该木马背后的黑客团伙不仅有明显的窃密倾向，而且逐步呈现与勒索组织和APT组织勾联的动态，请各中央企业网络安全部门高度重视，尽快组织从事CAD设计工作的成员单位开展自查、清理和加固工作，避免重要设计文件失窃。

二、攻击概述

攻击过程如下：

1、通过社会工程学方法向攻击目标发送植入木马的CAD项目文件，或通过植入木马的AutoCAD破解软件下载站进行“水坑攻击”完成木马的初始化传播。

2、利用自身复制完成注册表持久化驻留；一旦植入木马的CAD文件被AutoCAD打开，或植入木马的“破解版”AutoCAD启动，就会自动加载木马所在的恶意FAS文件，然后将自身复制到以下三个位置：

(1)当前用户的 Documents 文件夹，即：C:\Users\John Doe\Documents\acad.fas

(2)AutoCAD的主Support文件夹，即：

C:\JohnDoe\ApplicationData\Autodesk\AutoCAD2019\R23.0\enu\Support\acad.fas

(3)AutoCAD的主Program Files文件夹，即：C:\Program Files\Autodesk\AutoCAD2019\acaddoc.fas

此后，修改注册表，将“dlr”和“dqs”的环境变量存入（HKCU\Software\Autodesk\AutoCAD\R23.0\ACAD-A001:409\FixedProfile\General）。

3、通过文件分享进行横向移动；由于CAD文件往往随项目文件夹一同分享，该木马也随之传播。常见的传播途径包括U盘或移动硬盘拷贝、文件服务器或共享文件夹下载，或者互联网网盘共享等。

4、与控制服务器通信完成窃密传输。

该木马会暗中通过Http协议连接到控制服务器（C2），其通信过程采用了混淆加密方法，加密过程中使用了“dqs”和“dlr”变量值、系统区域设置和实际 AutoCAD 构建的版本号等。以下是完整查询的示例，其中大写字母“O”用作分隔符：hxxp://sl.szmr.org/cj/?9c5d97bba87f468b9237c9b160c36a43142898157 O 102156291 O 8264 O 23.0s%20(LMS%20Tech)

三、危害影响

该攻击活动影响较大，攻击者会直接利用窃取工程蓝图进行间谍行为或放在暗网出售，甚至后期会针对重点目标发动勒索攻击。目前该攻击活动还在持续进行中。

四、处置建议

该木马的控制服务器主要使用如下域名，建议各企业通过DNS服务器日志或流量检测设备自行监测、定位受木马控制的主机，同时在互联网边界采取封堵措施。

sq.szmr.org

sqer.szmr.org

sl.szmr.org

y.szmr.org

zxb.isdun.com

此外，建议各企业通过防病毒软件对内网主机进行木马查杀，或在主机上查找并清除acad.fas、acaddoc.fas、acad.lsp、acadapp.lsp、acadappp.lsp等文件。