Những kẻ tấn công luôn tìm kiếm các thủ thuật mới để phân phối phần mềm độc hại mà không bị phát hiện bởi trình quét chống vi-rút và cổng email an toàn. Điều này đã được minh họa trong một chiến dịch lừa đảo mới sử dụng tệp ZIP được tạo thủ công đặc biệt được thiết kế để vượt qua các cổng email an toàn để phân phối NanoCore RAT.
Mỗi kho lưu trữ ZIP chứa một cấu trúc đặc biệt chứa dữ liệu nén và thông tin về các tệp nén. Mỗi kho lưu trữ ZIP cũng chứa một bản ghi "Kết thúc thư mục trung tâm (EOCD), được sử dụng để chỉ ra kết thúc của cấu trúc lưu trữ.
Trong một chiến dịch spam mới được Trustwave phát hiện, các nhà nghiên cứu đã gặp phải một email spam giả vờ là thông tin vận chuyển từ Chuyên gia hoạt động xuất khẩu của USCO Logistics.
Kèm theo email này là một kho lưu trữ ZIP có tên Freight_MX00034900_PL_INV_pdf.zip trông đáng ngờ vì kích thước tệp của nó lớn hơn nội dung không nén của nó.
"Tập tin đính kèm, có tên là Freight_MX00034900_PL_INV_pdf.zip, làm cho thông điệp này trở nên nổi bật", Trustwave nêu trong một báo cáo. "Tệp ZIP có kích thước tệp lớn hơn đáng kể so với nội dung không nén của nó. Thông thường, kích thước của tệp ZIP phải nhỏ hơn nội dung không nén hoặc trong một số trường hợp, tệp ZIP sẽ phát triển lớn hơn tệp gốc một cách hợp lý số byte. "
Email trong Cổng bảo mật Trustwave (SEG) Khi kiểm tra tệp, các nhà nghiên cứu của Trustwave đã phát hiện ra rằng kho lưu trữ ZIP chứa hai cấu trúc lưu trữ riêng biệt, mỗi cấu trúc được đánh dấu bằng bản ghi EOCD của riêng chúng.
Điều này được minh họa bằng tệp được mở trong 010 Editor, hiển thị hai cấu trúc ZIDENDLOCATOR khác nhau.
Hai bản ghi EOCD trong kho lưu trữNhư chúng tôi đã nói trước đây, một kho lưu trữ ZIP chỉ nên có một bản ghi EOCD, vì vậy điều này cho thấy rằng tệp ZIP được chế tạo đặc biệt để chứa hai cấu trúc lưu trữ.
Cấu trúc ZIP đầu tiên dành cho tệp decoy order.jpg chỉ là tệp hình ảnh vô hại. Mặc dù vậy, cấu trúc ZIP thứ hai chứa một tệp có tên Freight_MX00034900_PL_INV_pdf.exe, đó là Trojan truy cập từ xa NanoCore (RAT).
Người ta đã xác định rằng những kẻ tấn công đang tạo ra kho lưu trữ ZIP được chế tạo đặc biệt này để vượt qua các cổng email an toàn mà các tiện ích lưu trữ có thể không giải nén được phần mềm độc hại và sẽ chỉ nhìn thấy tệp hình ảnh giải mã vô hại.
Trình trích xuất tập tin khác nhau hành xử khác nhau
Khi cố gắng mở kho lưu trữ bằng nhiều chương trình trích xuất tệp khác nhau, Trustwave đã phát hiện ra rằng kho lưu trữ được xử lý khác nhau trên mỗi trình trích xuất tệp.
Ví dụ: Windows Trình trích xuất ZIP tích hợp nói rằng tệp ZIP không hợp lệ và sẽ không giải nén được.
Windows cố gắng giải nén tập tin đính kèm ZIPKhi BleepingComputer thử nghiệm với 7-Zip 9.20, nó cảnh báo chúng tôi rằng có một cái gì đó sai với tệp ZIP, nhưng có thể trích xuất một tệp.
7-Zip đưa ra cảnh báo trong khi giải nénTuy nhiên, tệp được trích xuất không phải là tải trọng độc hại, mà là tệp hình ảnh order.jpg vô hại.
Trích xuất tập tin order.jpgMặc dù vậy, WinRAR không đưa ra cảnh báo nào khi trích xuất tệp lưu trữ ZIP và nó đã trích xuất tệp NanoCore của_M_M00000034900_PL_INV_pdf.exe.
WinRAR giải nén tệp NanoCoreDo các hành vi khác nhau được thể hiện bởi các công cụ không lưu trữ khác nhau, Trustwave tin rằng một số công cụ đó có thể phát hiện tệp vô hại thay vì tải trọng độc hại.
"Mẫu này thách thức các máy quét cổng. Tùy thuộc vào loại công cụ giải nén được sử dụng, có một khả năng tốt là chỉ có tệp decoy mới có thể được xem xét và xem xét kỹ lưỡng, và nội dung độc hại không được chú ý – giống như cách một số công cụ lưu trữ phổ biến nhất không thành công chú ý cấu trúc ZIP thứ hai. "
Sau khi thử nghiệm nhiều trình trích xuất tệp, Trustwave xác định rằng chỉ một số phiên bản nhất định của PowerArchiver, WinRar và cũ hơn 7-Zip tiện ích trích xuất đúng cách thực thi NanoCore.
Điều này cho thấy rằng mặc dù kỹ thuật này có thể giúp vượt qua các máy quét email, nhưng nó cũng có tác dụng phụ là gây khó khăn cho việc trích xuất tải trọng độc hại. Điều này sẽ dẫn đến các nạn nhân bị nhiễm ít hơn nhiều so với những kẻ tấn công có thể dự đoán.
