黑客使用 ZIP 文件串联来逃避检测

admin 2024年11月11日13:17:47评论32 views字数 1251阅读4分10秒阅读模式

导 

黑客瞄准 Windows 机器,使用 ZIP 文件连接技术在压缩档案中传递恶意负载,而安全解决方案却无法检测到它们。

该技术利用 ZIP 解析器和档案管理器处理连接 ZIP 文件的不同方法。

Perception Point发现了这一新趋势,他们在分析一次以虚假发货通知引诱用户的网络钓鱼攻击时,发现了一个隐藏着木马的串联 ZIP 存档。

研究人员发现,该附件被伪装成 RAR 存档,并且恶意软件利用 AutoIt 脚本语言自动执行恶意任务。

黑客使用 ZIP 文件串联来逃避检测

钓鱼电子邮件将木马隐藏在串联的 ZIP 文件中,来源:Perception Point

将恶意软件隐藏在“损坏的” ZIP 文件中

攻击的第一阶段是准备阶段,威胁组织创建两个或更多单独的 ZIP 存档,并将恶意负载隐藏在其中一个中,其余部分则保留无害内容。

接下来,通过将一个文件的二进制数据附加到另一个文件,将单独的文件连接成一个文件,并将其内容合并为一个组合的 ZIP 存档。

虽然最终结果显示为一个文件,但它包含多个 ZIP 结构,每个结构都有自己的中心目录和结束标记。

黑客使用 ZIP 文件串联来逃避检测

ZIP 文件的内部结构,来源:Perception Point

利用 ZIP 应用程序漏洞

攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。Perception Point 对 7zip、WinRAR 和 Windows 文件资源管理器进行了测试,结果不同:

7zip 仅读取第一个 ZIP 存档(可能是良性的),并可能生成有关其他数据的警告,而用户可能会错过。

WinRAR读取并显示两个 ZIP 结构,显示所有文件,包括隐藏的恶意负载。

Windows 文件资源管理器可能无法打开连接的文件,或者如果使用 .RAR 扩展名重命名,则可能仅显示第二个 ZIP 存档。

根据应用程序的行为,威胁组织可能会微调他们的攻击,例如将恶意软件隐藏在串联的第一个或第二个 ZIP 存档中。

Perception Point 研究人员尝试了 7Zip 攻击中的恶意存档,发现只显示了一个无害的 PDF 文件。但使用 Windows 资源管理器打开它时,却发现了恶意可执行文件。

黑客使用 ZIP 文件串联来逃避检测

7zip(上)和 Windows 文件资源管理器(下)打开同一个文件。来源:Perception Point

为了防御连接的 ZIP 文件,Perception Point 建议用户和组织使用支持递归解包的安全解决方案。

一般来说,应该对附加 ZIP 或其他存档文件类型的电子邮件保持怀疑态度,并且应在关键环境中实施过滤器以阻止相关的文件扩展名。

技术报告:https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/

新闻链接:

https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/

黑客使用 ZIP 文件串联来逃避检测

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):黑客使用 ZIP 文件串联来逃避检测

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日13:17:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客使用 ZIP 文件串联来逃避检测https://cn-sec.com/archives/3382493.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息