聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这种技术利用的是 ZIP 解析器和文档管理器处理拼接ZIP文件的不同方法。这种新趋势由 Perception Point 公司发现。该公司在分析通过虚假交付通知手段实施钓鱼攻击时,发现内含木马的一个拼接的ZIP文档。
研究人员发现,该附件伪装成一个RAR文档,而该恶意软件利用 AutoIt 脚本语言将恶意任务自动化。
该攻击的第一阶段是准备,即威胁行动者创建两个或更多单独的ZIP文档,并将恶意payload 隐藏在其中的一个文档中,而其余文档无恶意内容。接着,将一份文件的二进制数据附加到另一份文件之后,将它们的内容合并到一个ZIP文档,从而将两份单独文件拼接在一起。尽管最终的结果看似是一份文件,但实际其中包含多个ZIP结构,每个结构都有自己的中心目录和结束标记。
攻击的下一个阶段取决于ZIP解析器如何处理拼接的文档。研究人员对 7zip、WinRAR和Windows File Explorer 进行了测试并获得不同结果:
-
7zip 仅读取第一份ZIP文档(可能是非恶意的)并可能生成关于其它数据的提醒,而用户可能错过这一点。
-
WinRAR 读取并展示ZIP结构,披露所有文件,包括隐藏的恶意 payload。
-
Windows File Explorer 可能未能打开拼接的文件,或者如被更名为 .RAR 扩展,则可能仅显示第二份ZIP文档。
根据该应用行为的具体情况,威胁行动者可能调整其攻击如在所拼接的第一份或第二份 ZIP 文档中隐藏恶意软件。研究人员尝试针对7Zip 通过恶意文档攻击,发现仅显示一份无害的PDF文件。不过,通过 Windows Explorer 打开该文件会披露恶意可执行文件。
研究人员表示,要防御拼接的ZIP文件,用户和组织机构应当使用支持递归解压缩的安全解决方案。一般而言,含有ZIP或其它文档文件类型的邮件应当谨慎,应当在关键环境中执行过滤器,拦截相关的文件扩展。
原文始发于微信公众号(代码卫士):黑客利用ZIP文件拼接逃避检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论