专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
目录
相关文章推荐
AI范儿  ·  Gemini 2.0 ... ·  16 小时前  
AI范儿  ·  Gemini 2.0 ... ·  16 小时前  
海峡都市报  ·  世间将再无松下电视 ·  昨天  
海峡都市报  ·  世间将再无松下电视 ·  昨天  
重庆市场监管  ·  该报年报了!祝新的一年生意兴隆! ·  昨天  
今靖江  ·  工信部曝光!这些App,高风险!速查→ ·  2 天前  
今靖江  ·  工信部曝光!这些App,高风险!速查→ ·  2 天前  
51好读  ›  专栏  ›  看雪学苑

新型ZIP串联文件攻击针对Windows用户传播恶意软件

看雪学苑  · 公众号  · 互联网安全  · 2024-11-12 17:59

主要观点总结

网络威胁行为者利用ZIP文件的灵活性,通过拼接技术将恶意代码嵌入ZIP文件中以规避安全检测。攻击者针对特定工具的用户植入恶意软件,利用用户对RAR文件的信任和熟悉感,以及不同ZIP阅读器在处理拼接ZIP文件时的差异进行攻击。Perception Point已发现这一攻击模式并开发了应对方法。

关键观点总结

关键观点1: 攻击者利用ZIP文件灵活性传播恶意软件

攻击者通过拼接技术将恶意代码嵌入ZIP文件中,利用不同ZIP文件读取器和压缩管理器对拼接ZIP文件处理方式的差异,针对特定工具的用户进行攻击。

关键观点2: 攻击手段对Windows用户构成严重威胁

攻击者通过发送伪装成合法文件的恶意ZIP文件,利用用户对RAR文件的信任和熟悉感,以及ZIP阅读器的差异来欺骗用户。

关键观点3: Perception Point已发现并与7zip开发者联系

Perception Point的安全研究人员发现了这一攻击模式,并与7zip开发者联系,但开发者确认这是有意为之的功能,不太可能改变。

关键观点4: Perception Point的专有反逃避算法能检测ZIP档案

为了应对这一挑战,Perception Point开发了一种名为“递归解包器”的专有反逃避算法,能够检测ZIP档案是否被串联,并递归地提取每一层,确保不会遗漏任何隐藏的威胁。

关键观点5: 网络安全的挑战与需求

此次攻击提醒我们,网络威胁行为者不断寻找新的方法来逃避检测,网络安全领域需要不断更新和改进检测技术。Perception Point的检测技术为对抗这类攻击提供了新的解决方案。


正文

近期,网络威胁行为者正利用 一种新的恶意软件传播手段,利用ZIP文件的结构灵活性,通过拼接技术(concatenation)将恶意代码嵌入ZIP文件中,以规避安全检测。 这种策略依赖于不同ZIP文件读取器和压缩管理器对拼接ZIP文件处理方式的差异,使得攻击者能够针对特定工具的用户植入恶意软件。


攻击者通过精心设计的ZIP文件结构,将恶意代码隐藏在文件的“文件项”、“中央目录”和“结束目录记录”(EOCD)中。 这种灵活性增加了ZIP拼接技术的隐蔽性,使攻击者能够有效地欺骗安全工具和研究人员。攻击者利用这一技术,将恶意软件伪装成合法文件,通过电子邮件附件的形式发送给目标用户。


这种新型攻击手段对Windows用户构成了严重威胁。 攻击者通过发送伪装成合法文件的恶意ZIP文件,利用了用户对RAR文件的信任和熟悉感,以及不同ZIP阅读器在处理拼接ZIP文件时的差异。 例如,7zip和Windows文件资源管理器可能无法检测到隐藏在拼接ZIP文件中的恶意内容,而WinRAR则能够揭示这些隐藏的恶意载荷。这种差异使得攻击者能够针对使用特定ZIP阅读器的用户,如WinRAR用户,进行更精确的攻击。


Perception Point的安全研究人员发现了这一攻击模式,并与7zip开发者联系,以解决拼接ZIP文件的特定行为。然而,开发者确认这是有意为之的功能,不太可能改变,这为攻击者继续利用这一漏洞留下了空间。 为了应对这一挑战,Perception Point开发了一种名为“递归解包器”(Recursive Unpacker)的专有反逃避算法,能够检测ZIP档案(或畸形RAR)是否被串联,并递归地提取每一层。通过递归分析每一层,确保不会遗漏任何隐藏的威胁,无论它们被隐藏得多么深。


此次攻击再次提醒我们,网络威胁行为者不断寻找新的方法来逃避检测,网络安全领域需要不断更新和改进检测技术,以保护用户免受这些复杂且隐蔽的攻击手段的侵害。Perception Point的检测技术为对抗这类攻击提供了新的解决方案,有助于揭示和防范隐藏在ZIP文件中的高级恶意软件和加载器。






球分享

球点赞

球在看







请到「今天看啥」查看全文