利用损坏的文件绕过防病毒软件

admin 2024年12月11日23:27:23评论7 views字数 2253阅读7分30秒阅读模式

part1

点击上方蓝字关注我们

将二进制空间安全设为"星标⭐️"

第一时间收到文章更新

利用损坏的文件绕过防病毒软件

为什么损坏文件可以绕过安全检测

由于大多数防病毒软件和自动化工具都没有配备 Word 等应用程序中的恢复功能。这使得他们无法准确识别损坏文件的类型,从而导致无法检测和缓解威胁。下图是沙箱检测遇到的文件损坏提示:

利用损坏的文件绕过防病毒软件

如果在动态沙箱中集成了修复损坏归档文件功能, 模拟点击后, 则可以正常打开文档,下图是打开后文档中包含了一个钓鱼二维码的文档:

利用损坏的文件绕过防病毒软件

攻击者使用的不仅仅是 Docx 文件格式。还有一些包含恶意文件的损坏归档文件,这些文件由于损坏无法被安全系统查看其内容,因此能轻松绕过垃圾邮件过滤器。

一旦这些文件被下载到系统中,像 WinRAR 这样的工具可以轻松修复受损的归档文件,从而使受害者能够访问其内容。

对于损坏恶意文件, VirusTotal检测结果为0:

利用损坏的文件绕过防病毒软件

利用损坏的文件绕过防病毒软件

Word文档结构分析

自2000年代中期以来,办公文档(如2005年发布的 OpenOffice.org 2.0)已经被设计为一种包含文档内容的归档文件。在下图中,可以看到一个 Word 文档的结构。

利用损坏的文件绕过防病毒软件

从上图可以发现,这个归档文件中的所有结构是相互关联的,而这种关系是从末端开始的。

在归档文件的末尾,有一个名为中央目录记录结束标记(EOCD)的结构。该结构包含关于中央目录文件头(CDFH)大小、其偏移量以及归档文件中条目总数的信息。通过这个结构,可以定位到 CDFH。

(1).本地文件头(LFH)
  • 位置: 位于ZIP文件的开头。

  • 内容: 包含文件名、文件大小、CRC32校验值等信息。每个文件在ZIP文件中的数据块都从LFH开始。

  • 作用: 描述单个文件的基本信息。

  • 与其他部分关系: 在中央目录记录中,每个文件条目会引用它的起始偏移量

(2).中央目录文件头(CDFH)
  • 位置: 通常在ZIP文件数据块之后,用于汇总所有文件的基本信息。

  • 内容: 包含扩展的文件信息(如文件名、相对于LFH的偏移量); 每个文件在中央目录中都有对应的条目,条目中记录了该文件的偏移地址和属性。

(3).中央目录结束记录(EOCD)
  • 位置: 位于ZIP文件的末尾。

  • 内容: 包含中央目录的偏移量、大小、文件总数等信息。

  • 作用: 作为ZIP文件的索引起点,帮助解析中央目录和LFH。

  • 与CDFH关系: 通过偏移量定位中央目录起始位置,从而间接定位所有文件的LFH。

利用损坏的文件绕过防病毒软件

文档结构如何被攻击者操控分析

从上面的Word结构分析可知, ZIP归档文件的结构是从末尾开始构建的,同时各部分之间通过链接关联在一起。基于该原理, 下面将以三种不同的假设进行测试, 如图:

利用损坏的文件绕过防病毒软件

假设1: 如果在归档文件的开头添加额外的数据,Word或归档程序是否仍能恢复并成功打开文件?

假设2: 如果破坏各部分之间的链接并删除CDFH(中央目录文件头,且其本身不包含文件数据),Word或归档程序是否仍能恢复并成功打开文件?

假设3: 如果破坏各部分之间的链接并删除EOCD(中央目录结束记录,这是一种关键的恢复过程部分),Word或归档程序是否仍能恢复并成功打开文件?

下面是三种假设的测试结果:

假设1: Word: 成功; ZIP: 失败(该文件不再是存档)

假设2: Word:成功; ZIP: 成功

假设3: 成功; ZIP: 成功

在对上面的假设进行检验过程中, 中间的过程记录如下:

(1). 要使Word文档达到最小恢复标准, 以下文件必不可少:

[Content_Types].xml

Word/document.xml

Word/_rels/document.xml.rels,

_rels/.rels;

这些文件包含了有关元素之间关系的重要信息, 并构成Word文档所需的标准文件层次结构。

(2).本地文件头损坏的ZIP存档将仅显示文件结构, 实际文件内容将为空。

(3).如果ZIP文件的末尾部分损坏, 存档文件和Word将尝试使用替代恢复方法, 即利用完整的本地文件头。

从以上结果可以看到, Word比ZIP更能抗文件损坏。当 CDFH、EOCD 损坏,甚至添加随机字节以制造不存在的 LFH 结构时,Word 仍然可以成功恢复文件;而在第一种假设下(在文件开头添加随机字节),ZIP 则无法正常工作。

利用损坏的文件绕过防病毒软件

为什么安全系统无法读取损坏文件

安全系统尝试通过多种方式识别文件类型,包括使用文件头中的 Magic Bytes。然而,对于办公文档和 ZIP 归档文件来说,由于文件实际上是从末端开始的,攻击者可以通过损坏归档结构和 Magic Bytes,使检测系统难以识别文件类型。这将导致系统无法解包文件并检查其内容。

如下图,可以看到, 将包含恶意代码的损坏文档上传到VirusTotal中进行检测, 威胁检测几乎为0:

利用损坏的文件绕过防病毒软件

利用损坏的文件绕过防病毒软件

结论

本篇文章的研究揭示了文档和归档结构中的一个漏洞。通过操控 CDFH 和 EOCD 等特定组件,攻击者可以生成被应用程序成功修复但无法被安全软件检测到的损坏文件。结果是,安全系统尚未形成清晰的逻辑来检测此类攻击,导致用户的安全受到威胁。

参考链接:

https://any.run/cybersecurity-blog/corrupted-files-attack/

往期推荐

利用文件建立TCP连接隧道绕过防火墙

简化渗透测试整体流程的几个脚本

黑客利用ARP协议进行侦查和攻击手法

一款跨平台比VNC更丝滑的远程桌面管理工具

最受黑客和安全专家青睐的10款搜索引擎

八种绕过WAF防火墙的Payload混淆技术

省时省力的免费好工具-黑客软件集成管家

2024年最受欢迎的6款黑客专用操作系统

黑客在Windows系统下提权的8种主要姿势

原文始发于微信公众号(二进制空间安全):利用损坏的文件绕过防病毒软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月11日23:27:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用损坏的文件绕过防病毒软件https://cn-sec.com/archives/3495173.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息