![黑客现在使用 ZIP 文件串联来逃避检测]( "黑客现在使用 ZIP 文件串联来逃避检测")
黑客盯上了安装 Windows 系统的机器,使用 ZIP 文件连接技术在压缩档案中传递恶意负载,而安全解决方案却无法检测到它们。
该技术利用 ZIP 解析器和档案管理器处理连接 ZIP 文件的不同方法。
Perception Point发现了这一新趋势,他们在分析一次以虚假发货通知引诱用户的网络钓鱼攻击时,发现了一个隐藏着木马的串联 ZIP 存档。
研究人员发现,该附件被伪装成 RAR 存档,并且恶意软件利用 AutoIt 脚本语言自动执行恶意任务。
![黑客现在使用 ZIP 文件串联来逃避检测]( "黑客现在使用 ZIP 文件串联来逃避检测")
攻击的第一阶段是准备阶段,攻击者创建两个或更多单独的 ZIP 存档,并将恶意负载隐藏在其中一个中,其余部分则保留无害内容。
接下来,通过将一个文件的二进制数据附加到另一个文件,将单独的文件连接成一个文件,并将其内容合并为一个组合的 ZIP 存档。
虽然最终结果显示为一个文件,但它包含多个 ZIP 结构,每个结构都有自己的中心目录和结束标记。
![黑客现在使用 ZIP 文件串联来逃避检测]( "黑客现在使用 ZIP 文件串联来逃避检测")
攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。Perception Point 对 7zip、WinRAR 和 Windows 文件资源管理器进行了测试,结果不同:
-
7zip 仅读取第一个 ZIP 存档(可能是良性的),并可能生成有关其他数据的警告,而用户可能会错过
-
WinRAR读取并显示两个 ZIP 结构,显示所有文件,包括隐藏的恶意负载。
-
Windows 文件资源管理器 可能无法打开连接的文件,或者如果使用 .RAR 扩展名重命名,则可能仅显示第二个 ZIP 存档。
根据应用程序的行为,攻击者可能会微调他们的攻击,例如将恶意软件隐藏在串联的第一个或第二个 ZIP 存档中。
Perception Point 研究人员尝试了 7Zip 攻击中的恶意存档,发现只显示了一个无害的 PDF 文件。但使用 Windows 资源管理器打开它时,却发现了恶意可执行文件。
![黑客现在使用 ZIP 文件串联来逃避检测]( "黑客现在使用 ZIP 文件串联来逃避检测")
为了防御连接的 ZIP 文件,Perception Point 建议用户和组织使用支持递归解包的安全解决方案。
一般来说,应该对附加 ZIP 或其他存档文件类型的电子邮件保持怀疑态度,并且应在关键环境中实施过滤器以阻止相关的文件扩展名。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):黑客现在使用 ZIP 文件串联来逃避检测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3414945.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论