黑客瞄准 Windows 机器,使用 ZIP 文件连接技术在压缩档案中传递恶意负载,而安全解决方案却无法检测到它们。
该技术利用 ZIP 解析器和档案管理器处理连接 ZIP 文件的不同方法。
Perception Point发现了这一新趋势,他们在分析一次以虚假发货通知引诱用户的网络钓鱼攻击时,发现了一个隐藏着木马的串联 ZIP 存档。
研究人员发现,该附件被伪装成 RAR 存档,并且恶意软件利用 AutoIt 脚本语言自动执行恶意任务。
钓鱼电子邮件将木马隐藏在串联的 ZIP 文件中,来源:Perception Point
将恶意软件隐藏在“损坏的” ZIP 文件中
攻击的第一阶段是准备阶段,威胁组织创建两个或更多单独的 ZIP 存档,并将恶意负载隐藏在其中一个中,其余部分则保留无害内容。
接下来,通过将一个文件的二进制数据附加到另一个文件,将单独的文件连接成一个文件,并将其内容合并为一个组合的 ZIP 存档。
虽然最终结果显示为一个文件,但它包含多个 ZIP 结构,每个结构都有自己的中心目录和结束标记。
ZIP 文件的内部结构,来源:Perception Point
利用 ZIP 应用程序漏洞
攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。Perception Point 对 7zip、WinRAR 和 Windows 文件资源管理器进行了测试,结果不同:
7zip 仅读取第一个 ZIP 存档(可能是良性的),并可能生成有关其他数据的警告,而用户可能会错过。
WinRAR读取并显示两个 ZIP 结构,显示所有文件,包括隐藏的恶意负载。
Windows 文件资源管理器可能无法打开连接的文件,或者如果使用 .RAR 扩展名重命名,则可能仅显示第二个 ZIP 存档。
根据应用程序的行为,威胁组织可能会微调他们的攻击,例如将恶意软件隐藏在串联的第一个或第二个 ZIP 存档中。
Perception Point 研究人员尝试了 7Zip 攻击中的恶意存档,发现只显示了一个无害的 PDF 文件。但使用 Windows 资源管理器打开它时,却发现了恶意可执行文件。
7zip(上)和 Windows 文件资源管理器(下)打开同一个文件。来源:Perception Point
为了防御连接的 ZIP 文件,Perception Point 建议用户和组织使用支持递归解包的安全解决方案。
一般来说,应该对附加 ZIP 或其他存档文件类型的电子邮件保持怀疑态度,并且应在关键环境中实施过滤器以阻止相关的文件扩展名。
技术报告:https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/
新闻链接:
https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/
梅川内酷
厉害
青山
压缩加密文件的检测本身就很难,检测时间过长,用户不乐意的[呲牙笑]