网络犯罪分子一直在寻找绕过安全防御的新方法,据 Perception Point 报道,最新的策略是利用 ZIP 连接向 Windows 用户发送木马恶意软件。这种技术利用了 ZIP 文件格式的灵活性,允许攻击者以躲避检测方法的方式嵌入恶意有效载荷。
ZIP 文件压缩效率高、使用方便,因此被广泛用于捆绑文件。然而,这种结构也可能被利用。威胁者可以通过将多个 ZIP 压缩文件串联成一个文件来操纵 ZIP 文件。Perception Point 的报告解释说:“在处理连接的 ZIP 文件方面存在的这种差异使攻击者可以通过将恶意有效载荷隐藏在某些 ZIP 阅读器无法访问或不访问的存档部分来躲避检测工具”。
这种规避策略的影响因所使用的 ZIP 阅读器而异:
- 7zip: 它只显示存档的一部分,通常是良性文件,而潜在的恶意内容仍被隐藏。
- WinRAR:这一工具可揭示整个有效载荷,同时暴露良性和恶意内容。
- Windows 文件资源管理器: 它很难处理连接的 ZIP 文件,用户往往看不到隐藏的内容。
Perception Point 强调指出,这种可变性允许攻击者针对特定软件进行攻击。正如报告中指出的,“许多安全厂商依赖于流行的 ZIP 处理程序,如 7zip 或操作系统本地工具……威胁行为者知道这些工具经常会错过或忽略隐藏在压缩包中的恶意内容。”
Perception Point 的分析发现了一个钓鱼电子邮件活动,该活动分发了一个伪装成合法运输文件的压缩 ZIP 文件。这个名为 SHIPPING_INV_PL_BL_pdf.rar 的恶意文件一旦用 WinRAR 或 Windows 文件资源管理器打开,就会发现档案中隐藏了一个可执行木马。该木马使用 AutoIt 脚本嵌入,能够下载额外的恶意有效载荷,有可能导致严重的系统危害。
图片 感知点
Perception Point 推出了 “递归解包器”,这是一种专有的反规避算法,能够检测和提取深层隐藏的内容。通过分析连接的 ZIP 文件的每一层,Recursive Unpacker 可降低风险并提高对潜在威胁的可见性。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容