通过压缩文件溯源攻击者信息

admin 2023年3月9日00:24:51评论28 views字数 1167阅读3分53秒阅读模式

最近研究了一下部分压缩文件的文件头,发现在RAR中存在一个很有意思的字段“DOSTIME FileTime”,在RAR4的压缩中不会将其转到UTC+0的时间,即在RAR4中压缩时,所使用的时间为本地时间,那么这个信息有什么意义呢?

通过压缩文件溯源攻击者信息

假设,在东京(UTC+9)有一个小黑客,在小黑客本机12点的时候,编译了一个木马,那么木马的修改时间为12点,小黑客将木马通过RAR4压缩,然后在小黑客时区的12点15分通过邮件的方式发送到中国(UTC+8)小李的电脑上,不幸的小李被邮件内容吸引,于是打开了压缩包中了马。

在以上场景中,从小李时区(UTC+8)的角度看,小李是在11点15分(UTC+8)收到的邮件,其中的木马却是在12点被生成,由此可以推测出攻击者时区大于小李的时区。

以上仅是一个利用的方法,实际上可玩性很高,作者也通过此方法辅助溯源到某攻击组织。

通过压缩文件溯源攻击者信息

以下篇幅主要讲解作者的一些分析流程,作者会尽量写的详细一点,方便大家学习。

首先,我们建立一个叫”FileName.txt”的文件,内容为:”Content”,(注意此处的文件时间:2021/5/19 12:23)

通过压缩文件溯源攻击者信息

将其通过RAR4和RAR5压缩算法压缩为4.rar和5.rar

通过压缩文件溯源攻击者信息

通过16进制编辑器两个文件进行分析,此处推荐使用010 Editor,本文中所用到的解析模板放至文末。

RAR4的文件头为:52 61 72 21 1A 07 00

通过压缩文件溯源攻击者信息

RAR5的文件头为:52 61 72 21 1A 07 01 00

通过压缩文件溯源攻击者信息

查看4.rar的字段”struct RarBlock block[0]”->”struct FileHeadBlock file”->”DOSDATE FileDate”/”DOSTIME FileTime”

可以看到文件时间为”12:23″与文件创建时间相同,说明使用RAR4压缩时未对时间进行转换,仅通过压缩者电脑的时区保存。

通过压缩文件溯源攻击者信息

查看5.rar的字段”struct RarBlockV5 Block[1]”->”struct Records records”->”struct Record record”->”FILETIME mtime”

可以看到文件时间为”04:23″与”12:23″的文件创建时间不相同,且刚好相差8个小时,说明使用RAR5压缩时会将时间转换为UTC+0的时区时间。

通过压缩文件溯源攻击者信息

PS:溯源需要尽可能的掌握更多的攻击者信息,上述的方法只是一个引子,希望可以帮大家扩展思路。


另外,在使用010 Editor时,如果发现没有RAR的解析模板,可以使用附件的代码,使用方式如下(附件获取方式见文末): 

通过压缩文件溯源攻击者信息

新建模板后把附件的代码复制进去保存。

通过压缩文件溯源攻击者信息
通过压缩文件溯源攻击者信息

打开刚刚保存的.bt文档,运行起来即可。

通过压缩文件溯源攻击者信息
通过压缩文件溯源攻击者信息
通过压缩文件溯源攻击者信息


RAR模板解析代码关注公众号,后台回复"RAR"获取下载链接!

要是觉得有用的话,欢迎收藏转发此文章~

原文始发于微信公众号(狼蛛安全实验室):通过压缩文件溯源攻击者信息

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月9日00:24:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过压缩文件溯源攻击者信息https://cn-sec.com/archives/1234057.html

发表评论

匿名网友 填写信息