Útočníci vždy hľadajú nové triky na šírenie škodlivého softvéru bez toho, aby ich antivírusové skenery a bezpečné e-mailové brány detekovali. Toto bolo ilustrované v novej kampani phishingu, ktorá využívala špeciálne vytvorený súbor ZIP, ktorý bol navrhnutý tak, aby obchádzal zabezpečené e-mailové brány na distribúciu NanoCore RAT.
Každý ZIP archív obsahuje špeciálnu štruktúru, ktorá obsahuje komprimované údaje a informácie o komprimovaných súboroch. Každý archív ZIP obsahuje aj jeden záznam „End of Central Directory“ (EOCD), ktorý sa používa na označenie konca štruktúry archívu.
V novej kampani na spam, ktorú objavila spoločnosť Trustwave, sa vedci stretli s nevyžiadaným e-mailom, ktorý predstieral, že ide o informácie o vývoze od špecialistu na exportné operácie USCO Logistics.
K tomuto e-mailu bol pripojený archív ZIP s názvom SHIPPING_MX00034900_PL_INV_pdf.zip, ktorý vyzeral podozrivo, pretože jeho veľkosť súboru bola väčšia ako nekomprimovaný obsah.
„Príloha„ SHIPPING_MX00034900_PL_INV_pdf.zip “robí túto správu vynikajúcou,“ Trustwave uvedené v správe, „Súbor ZIP mal veľkosť súboru podstatne väčšiu ako veľkosť jeho nekomprimovaného obsahu. Veľkosť súboru ZIP by zvyčajne mala byť menšia ako nekomprimovaný obsah, alebo v niektorých prípadoch sa súbory ZIP zväčšia o primeranú veľkosť ako pôvodné súbory. počet bajtov. “
Pri skúmaní súboru vedci Trustwave zistili, že ZIP archív obsahoval dve odlišné archívne štruktúry, z ktorých každá bola označená vlastným záznamom EOCD.
To ilustruje súbor otvorený v editore 010, ktorý ukazuje dve rôzne štruktúry ZIDENDLOCATOR.
Ako sme už povedali, archív ZIP by mal mať iba jeden záznam EOCD, čo naznačuje, že súbor ZIP bol špeciálne vytvorený tak, aby obsahoval dve archívne štruktúry.
Prvá štruktúra ZIP je pre návnadový súbor order.jpg, ktorý je iba neškodným obrázkovým súborom. Druhá štruktúra ZIP však obsahovala súbor s názvom SHIPPING_MX00034900_PL_INV_pdf.exe, čo je trójsky kôň pre vzdialený prístup NanoCore (RAT).
Zistilo sa, že útočníci vytvárali tento špeciálne vytvorený ZIP archív, aby obchádzali zabezpečené e-mailové brány, ktorých archivačné nástroje nemusia správne extrahovať malware a uvidia iba neškodný obrazový súbor návnady.
Rôzni extraktori súborov sa správajú odlišne
Pri pokuse o otvorenie archívu pomocou rôznych programov na extrakciu súborov Trustwave zistil, že s archívom sa zaobchádzalo odlišne pre každý extraktor súborov.
Napríklad Windows vstavaný extraktor ZIP uvádza, že súbor ZIP je neplatný a nebude ho extrahovať.
Keď bol program BleepingComputer testovaný pomocou 7-PSČ 9.20, upozornilo nás na to, že so súborom ZIP niečo nebolo v poriadku, ale dokázal ho extrahovať.
Extrahovaný súbor však nebol nebezpečným užitočným zaťažením, ale neškodným obrázkovým súborom order.jpg.
WinRAR však pri extrahovaní archívu ZIP nevydal žiadne varovania a extrahoval súbor NanoCore SHIPPING_MX00034900_PL_INV_pdf.exe.
Kvôli rôznemu správaniu, ktoré vykazujú rôzne unarchivujúce sa mechanizmy, Trustwave verí, že niektoré z týchto motorov môžu skôr odhaliť neškodný súbor než škodlivé užitočné zaťaženie.
„Táto vzorka je výzvou pre skenery brán. V závislosti od typu použitého dekompresného motora existuje veľká pravdepodobnosť, že bude možné skontrolovať a skontrolovať iba súbor s návnadou a nepovšimnutý škodlivý obsah – rovnako ako to, že niektoré z najpopulárnejších archivačných nástrojov zlyhali všimnite si druhú štruktúru ZIP. ““
Po testovaní mnohých extraktorov súborov Trustwave zistil, že iba určité verzie PowerArchiver, WinRar a staršie 7-Zip nástroje správne extrahovali spustiteľný súbor NanoCore.
To ukazuje, že hoci táto technika môže pomôcť obísť skenery e-mailov, má to tiež vedľajší účinok, že sťažuje extrahovanie škodlivého užitočného obsahu. To by viedlo k oveľa menej infikovaným obetiam, ako mohol útočník očakávať.