特製的ZIP檔案能夠繞過電子郵件安全閘道器

Editor發表於2019-11-08
特製的ZIP檔案能夠繞過電子郵件安全閘道器
圖片來源:Bleeping Computer



一直以來,攻擊者不停在尋找新的手段來散播惡意軟體。

同時又不會被防病毒掃描軟體和電子郵件安全閘道器檢測到。

近期,一項新的網路釣魚活動實現了此目的。



包含兩個EOCD的ZIP檔案



近日,一起冒充USCO Logistics出口操作專家運送訊息的郵件大量散佈,實際上這是一種新型的垃圾郵件,而其中的附件ZIP檔案經過特製之後能夠繞過電子郵件的安全閘道器來分發惡意的RAT。

一般來說,每個ZIP檔案必須有且只有一個End of central directory record(EOCD),即目錄結束標識。

該標識存在整個ZIP檔案的結尾,用於標記壓縮的目錄資料的結束。

研究人員之所以發現這個可疑的文件,是因為其檔案大小大於未壓縮的內容。

特製的ZIP檔案能夠繞過電子郵件安全閘道器

在對這個檔案進行檢查時,研究人員發現ZIP壓縮包中包含兩個不同的結構,每個結構都有自己的EOCD記錄標識。

這很明顯是與一般情況相違背的。

特製的ZIP檔案能夠繞過電子郵件安全閘道器


由此研究人員推斷,ZIP檔案是經過特殊設計的,才會包含兩個存檔結構。


第一個ZIP結構使用一個order.jpg檔案做誘餌,它只是一個無害的影象檔案。但是,第二個ZIP結構包含一個名為SHIPPING_MX00034900_PL_INV_pdf.exe的檔案,它實際上是一個遠端訪問木馬(RAT)。


而攻擊者這麼做的目的則是為了繞過電子郵件的安全閘道器,使其只能看到作為誘餌的影象檔案。



不同的解壓結果



此外,研究人員發現,使用不同的應用程式解壓ZIP檔案時,會出現不同的結果,這也就表明每個解壓軟體對ZIP的處理方式有所不同。


例如,使用Windows內建的ZIP解壓程式會顯示ZIP檔案無效,因此並不會提取該惡意軟體。


特製的ZIP檔案能夠繞過電子郵件安全閘道器


使用7-Zip進行測試時,它會提醒我們ZIP檔案存在問題,但依然能夠提取檔案,只不過提取出來的只有jpg影象檔案。




特製的ZIP檔案能夠繞過電子郵件安全閘道器

在使用WinRAR提取檔案時,並未發出警告,同時還提取出了惡意軟體。


特製的ZIP檔案能夠繞過電子郵件安全閘道器


在測試了眾多軟體之後,研究人員發現只有某些版本的PowerArchiver,WinRAR和較舊的7-Zip才能完整提取惡意可執行檔案。

這表明,儘管這項技術十分新穎,能夠繞過電子郵件的安全掃描,但其發揮作用的惡意負載目前還不會輕易被提取,因此受感染的受害者會比預期少很多。




* 本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。

* 原文連結:

https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/

相關文章