近期,网络威胁行为者正利用一种新的恶意软件传播手段,利用ZIP文件的结构灵活性,通过拼接技术(concatenation)将恶意代码嵌入ZIP文件中,以规避安全检测。这种策略依赖于不同ZIP文件读取器和压缩管理器对拼接ZIP文件处理方式的差异,使得攻击者能够针对特定工具的用户植入恶意软件。
攻击者通过精心设计的ZIP文件结构,将恶意代码隐藏在文件的“文件项”、“中央目录”和“结束目录记录”(EOCD)中。这种灵活性增加了ZIP拼接技术的隐蔽性,使攻击者能够有效地欺骗安全工具和研究人员。攻击者利用这一技术,将恶意软件伪装成合法文件,通过电子邮件附件的形式发送给目标用户。
这种新型攻击手段对Windows用户构成了严重威胁。攻击者通过发送伪装成合法文件的恶意ZIP文件,利用了用户对RAR文件的信任和熟悉感,以及不同ZIP阅读器在处理拼接ZIP文件时的差异。例如,7zip和Windows文件资源管理器可能无法检测到隐藏在拼接ZIP文件中的恶意内容,而WinRAR则能够揭示这些隐藏的恶意载荷。这种差异使得攻击者能够针对使用特定ZIP阅读器的用户,如WinRAR用户,进行更精确的攻击。
Perception Point的安全研究人员发现了这一攻击模式,并与7zip开发者联系,以解决拼接ZIP文件的特定行为。然而,开发者确认这是有意为之的功能,不太可能改变,这为攻击者继续利用这一漏洞留下了空间。为了应对这一挑战,Perception Point开发了一种名为“递归解包器”(Recursive Unpacker)的专有反逃避算法,能够检测ZIP档案(或畸形RAR)是否被串联,并递归地提取每一层。通过递归分析每一层,确保不会遗漏任何隐藏的威胁,无论它们被隐藏得多么深。
此次攻击再次提醒我们,网络威胁行为者不断寻找新的方法来逃避检测,网络安全领域需要不断更新和改进检测技术,以保护用户免受这些复杂且隐蔽的攻击手段的侵害。Perception Point的检测技术为对抗这类攻击提供了新的解决方案,有助于揭示和防范隐藏在ZIP文件中的高级恶意软件和加载器。
﹀
球分享
球点赞
球在看