Mobilné Správy, Gadgety, Blogy's Secenziami

Špeciálne vytvorený súbor ZIP používaný na obídenie zabezpečených e-mailových brán

Malspam "height =" 480 "width =" 1200 "data-src =" https://www.bleepstatic.com/content/hl-images/2019/04/26/Malspam.jpg "class =" b-lenivý " /></p><div class='code-block code-block-2' style='margin: 8px auto; text-align: center; display: block; clear: both;'><style>.ai-rotate {position: relative;}
.ai-rotate-hidden {visibility: hidden;}
.ai-rotate-hidden-2 {position: absolute; top: 0; left: 0; width: 100%; height: 100%;}
.ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback, .ai-list-block, .ai-list-block-ip, .ai-list-block-filter {visibility: hidden; position: absolute; width: 50%; height: 1px; top: -1000px; z-index: -9999; margin: 0px!important;}
.ai-list-data, .ai-ip-data, .ai-filter-check, .ai-fallback {min-width: 1px;}</style><div class='ai-rotate ai-unprocessed ai-timed-rotation ai-2-2' data-info='WyIyLTIiLDJd' style='position: relative;'><div class='ai-rotate-option' style='visibility: hidden;' data-index=

Útočníci vždy hľadajú nové triky na šírenie škodlivého softvéru bez toho, aby ich antivírusové skenery a bezpečné e-mailové brány detekovali. Toto bolo ilustrované v novej kampani phishingu, ktorá využívala špeciálne vytvorený súbor ZIP, ktorý bol navrhnutý tak, aby obchádzal zabezpečené e-mailové brány na distribúciu NanoCore RAT.

Každý ZIP archív obsahuje špeciálnu štruktúru, ktorá obsahuje komprimované údaje a informácie o komprimovaných súboroch. Každý archív ZIP obsahuje aj jeden záznam „End of Central Directory“ (EOCD), ktorý sa používa na označenie konca štruktúry archívu.

V novej kampani na spam, ktorú objavila spoločnosť Trustwave, sa vedci stretli s nevyžiadaným e-mailom, ktorý predstieral, že ide o informácie o vývoze od špecialistu na exportné operácie USCO Logistics.

K tomuto e-mailu bol pripojený archív ZIP s názvom SHIPPING_MX00034900_PL_INV_pdf.zip, ktorý vyzeral podozrivo, pretože jeho veľkosť súboru bola väčšia ako nekomprimovaný obsah.

„Príloha„ SHIPPING_MX00034900_PL_INV_pdf.zip “robí túto správu vynikajúcou,“ Trustwave uvedené v správe, „Súbor ZIP mal veľkosť súboru podstatne väčšiu ako veľkosť jeho nekomprimovaného obsahu. Veľkosť súboru ZIP by zvyčajne mala byť menšia ako nekomprimovaný obsah, alebo v niektorých prípadoch sa súbory ZIP zväčšia o primeranú veľkosť ako pôvodné súbory. počet bajtov. “

E-mail v bezpečnostnej e-mailovej bráne TrustWave (SEG) E-mail v bezpečnostnej e-mailovej bráne Trustwave (SEG)

Pri skúmaní súboru vedci Trustwave zistili, že ZIP archív obsahoval dve odlišné archívne štruktúry, z ktorých každá bola označená vlastným záznamom EOCD.

To ilustruje súbor otvorený v editore 010, ktorý ukazuje dve rôzne štruktúry ZIDENDLOCATOR.

Dva archívy EOCD v archíveDva archívy EOCD v archíve

Ako sme už povedali, archív ZIP by mal mať iba jeden záznam EOCD, čo naznačuje, že súbor ZIP bol špeciálne vytvorený tak, aby obsahoval dve archívne štruktúry.

Prvá štruktúra ZIP je pre návnadový súbor order.jpg, ktorý je iba neškodným obrázkovým súborom. Druhá štruktúra ZIP však obsahovala súbor s názvom SHIPPING_MX00034900_PL_INV_pdf.exe, čo je trójsky kôň pre vzdialený prístup NanoCore (RAT).

Zistilo sa, že útočníci vytvárali tento špeciálne vytvorený ZIP archív, aby obchádzali zabezpečené e-mailové brány, ktorých archivačné nástroje nemusia správne extrahovať malware a uvidia iba neškodný obrazový súbor návnady.

Rôzni extraktori súborov sa správajú odlišne

Pri pokuse o otvorenie archívu pomocou rôznych programov na extrakciu súborov Trustwave zistil, že s archívom sa zaobchádzalo odlišne pre každý extraktor súborov.

Napríklad Windows vstavaný extraktor ZIP uvádza, že súbor ZIP je neplatný a nebude ho extrahovať.

Windows  snaží sa extrahovať prílohu ZIPWindows snaží sa extrahovať prílohu ZIP

Keď bol program BleepingComputer testovaný pomocou 7-PSČ 9.20, upozornilo nás na to, že so súborom ZIP niečo nebolo v poriadku, ale dokázal ho extrahovať.

7-Zip vydávanie varovania pri extrahovaní7-Zip vydávanie varovania pri extrahovaní

Extrahovaný súbor však nebol nebezpečným užitočným zaťažením, ale neškodným obrázkovým súborom order.jpg.

Extrahovaný súbor order.jpgExtrahovaný súbor order.jpg

WinRAR však pri extrahovaní archívu ZIP nevydal žiadne varovania a extrahoval súbor NanoCore SHIPPING_MX00034900_PL_INV_pdf.exe.

WinRAR extrahoval súbor NanoCoreWinRAR extrahoval súbor NanoCore

Kvôli rôznemu správaniu, ktoré vykazujú rôzne unarchivujúce sa mechanizmy, Trustwave verí, že niektoré z týchto motorov môžu skôr odhaliť neškodný súbor než škodlivé užitočné zaťaženie.

„Táto vzorka je výzvou pre skenery brán. V závislosti od typu použitého dekompresného motora existuje veľká pravdepodobnosť, že bude možné skontrolovať a skontrolovať iba súbor s návnadou a nepovšimnutý škodlivý obsah – rovnako ako to, že niektoré z najpopulárnejších archivačných nástrojov zlyhali všimnite si druhú štruktúru ZIP. ““

Po testovaní mnohých extraktorov súborov Trustwave zistil, že iba určité verzie PowerArchiver, WinRar a staršie 7-Zip nástroje správne extrahovali spustiteľný súbor NanoCore.

To ukazuje, že hoci táto technika môže pomôcť obísť skenery e-mailov, má to tiež vedľajší účinok, že sťažuje extrahovanie škodlivého užitočného obsahu. To by viedlo k oveľa menej infikovaným obetiam, ako mohol útočník očakávať.