专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
目录
相关文章推荐
华夏能源网  ·  “储氢瓶第一股”上市,开盘大涨26% ·  13 小时前  
看雪学苑  ·  限时限量!双11看雪课程补贴券,即领即用 ·  1 周前  
纳指弹幕组  ·  本周TMT外资观点: ... ·  6 天前  
纳指弹幕组  ·  本周TMT外资观点: ... ·  6 天前  
中国土木工程集团有限公司  ·  中国土木召开海外事业部前移暨海外经营体系建设推进会 ·  1 周前  
中国土木工程集团有限公司  ·  中国土木召开海外事业部前移暨海外经营体系建设推进会 ·  1 周前  
51好读  ›  专栏  ›  看雪学苑

新型ZIP串联文件攻击针对Windows用户传播恶意软件

看雪学苑  · 公众号  · 互联网安全  · 2024-11-12 17:59

正文

近期,网络威胁行为者正利用一种新的恶意软件传播手段,利用ZIP文件的结构灵活性,通过拼接技术(concatenation)将恶意代码嵌入ZIP文件中,以规避安全检测。这种策略依赖于不同ZIP文件读取器和压缩管理器对拼接ZIP文件处理方式的差异,使得攻击者能够针对特定工具的用户植入恶意软件。


攻击者通过精心设计的ZIP文件结构,将恶意代码隐藏在文件的“文件项”、“中央目录”和“结束目录记录”(EOCD)中。这种灵活性增加了ZIP拼接技术的隐蔽性,使攻击者能够有效地欺骗安全工具和研究人员。攻击者利用这一技术,将恶意软件伪装成合法文件,通过电子邮件附件的形式发送给目标用户。


这种新型攻击手段对Windows用户构成了严重威胁。攻击者通过发送伪装成合法文件的恶意ZIP文件,利用了用户对RAR文件的信任和熟悉感,以及不同ZIP阅读器在处理拼接ZIP文件时的差异。例如,7zip和Windows文件资源管理器可能无法检测到隐藏在拼接ZIP文件中的恶意内容,而WinRAR则能够揭示这些隐藏的恶意载荷。这种差异使得攻击者能够针对使用特定ZIP阅读器的用户,如WinRAR用户,进行更精确的攻击。


Perception Point的安全研究人员发现了这一攻击模式,并与7zip开发者联系,以解决拼接ZIP文件的特定行为。然而,开发者确认这是有意为之的功能,不太可能改变,这为攻击者继续利用这一漏洞留下了空间。为了应对这一挑战,Perception Point开发了一种名为“递归解包器”(Recursive Unpacker)的专有反逃避算法,能够检测ZIP档案(或畸形RAR)是否被串联,并递归地提取每一层。通过递归分析每一层,确保不会遗漏任何隐藏的威胁,无论它们被隐藏得多么深。


此次攻击再次提醒我们,网络威胁行为者不断寻找新的方法来逃避检测,网络安全领域需要不断更新和改进检测技术,以保护用户免受这些复杂且隐蔽的攻击手段的侵害。Perception Point的检测技术为对抗这类攻击提供了新的解决方案,有助于揭示和防范隐藏在ZIP文件中的高级恶意软件和加载器。






球分享

球点赞

球在看



“阅读原文一起来充电吧!

推荐文章
华夏能源网  ·  “储氢瓶第一股”上市,开盘大涨26%
13 小时前
中国土木工程集团有限公司  ·  中国土木召开海外事业部前移暨海外经营体系建设推进会
1 周前
中国土木工程集团有限公司  ·  中国土木召开海外事业部前移暨海外经营体系建设推进会
1 周前
爱健身  ·  健身时的呼吸方法
7 年前