大多数通过邮件分发到恶意软件都是打包为ZIP、RAR、7z等进行传播的。近日,研究人员发现一个新型的伪造恶意打包文件的方式。本文对隐藏在NanoCore恶意软件中的奇怪的ZIP文件格式进行解释。
垃圾邮件
研究人员发现一个信件主题的垃圾邮件攻击活动。该消息声称来自USCO快递公司的出口业务专员,是受客户要求发送到邮件。除此之外,还有很多可疑的地方:
· Header不匹配。Reply-To和From的邮件地址是不同的。而且,Reply-To中的邮件地址是免费的Gmail邮箱。
· 消息主体可疑。消息中两次提到了附件,以确保引起用户对附件的注意。
· 可疑的附件名。附件“SHIPPING_MX00034900_PL_INV_pdf.zip” 的名字是以pdf.zip结尾的。该文件其实是一个zip文件。
图 1: Trustwave Security Email Gateway (SEG) 展示的含有NanoCore RAT的垃圾邮件
附件
附件SHIPPING_MX00034900_PL_INV_pdf.zip让消息很突出。ZIP文件中有一个文件大小明显大于解压后的内容。ZIP文件的大小应该小于未压缩的内容,有时候ZIP文件会比原始文件大一些。
图 2: 附件 SHIPPING_MX00034900_PL_INV_pdf.zip
ZIP文件中有一个“End of Central Directory” (EOCD)来表明压缩文件的结束。进一步分析SHIPPING_MX00034900_PL_INV_pdf.zip的结构,研究人员发现附件中含有2个EOCD。第一个EOCD之后有一些额外的数据,是另外一个ZIP文件的结构。也就是说,的一个ZIP文件结构上图像文件order.jpg,而第二个zip文件结构上一个可执行文件——SHIPPING_MX00034900_PL_INV_pdf.exe。这两个文件都被压缩过了,但本地文件header和EOCD都表明在ZIP文件中只有一个文件。
诱饵
第一个zip文件结构中包含的图像文件order.jpg 被非恶意PNG格式的图像文件。而是一个诱饵文件,用来隐藏另一个ZIP结构的内容。虽然文件扩展名为JPG,但SEG正确识别了图像文件为PNG。
NanoCore RAT
第二个ZIP文件结构中包含的SHIPPING_MX00034900_PL_INV_pdf.exe,其实是一个远程木马——NanoCore RAT。远程访问木马可以让攻击者完全控制被黑的机器。木马会在端口11903连接到C2服务器。NanoCore RAT版本为1.2.2.0,研究人员还发现该木马几个月前才在暗网上免费提供。
图 3: NanoCore RAT的处理流
图 4: NanoCore RAT从图3中最后一步获取的内存内容复制
不同工具看到的ZIP内容
很明显攻击者尝试用dual archive的方式来绕过一些扫描网关。那么常见的这些解压缩工具是如何处理这些样本的呢?
研究人员使用了不同的解压缩工具来进行测试,包括PowerArchiver 2019, WinZip, WinRar, 7Zip, 和Unzip。研究人员用这些工具在Windows环境写提取SHIPPING_MX00034900_PL_INV_pdf.zip附件中的内容。这5个工具中只有WinZip和Unzip遭遇了错误,无法从zip文件中提取内容。其他的工具都从zip附件中提取了一个文件,“order.jpg”或者“SHIPPING_MX00034900_PL_INV_pdf.exe”。
WinZip v11.2和24.0, 以及Windows内置的Unzip工具将附件SHIPPING_MX00034900_PL_INV_pdf.zip识别为无效的压缩文件。只有WinZip给出了明确的理由,ZIP的中心目录的开始部分没有找到。中心就是第二个zip结构。在图2中,第二个EOCD表明其中心目录位于文件的offset 0xd148f处,而其位于0xd40d41。
图 5: WinZip 11.2 错误弹窗和第二个ZIP结构的中心目录和EOCD
图 6: Windows Unzip错误弹窗显示垃圾邮件中的附件是无效的
PowerArchiver 2019, WinRar, 7Zip都可以从SHIPPING_MX00034900_PL_INV_pdf.zip附件中提取一个文件。下面是一个矩阵:
最新版的PowerArchiver 2019和WinRar都认为SHIPPING_MX00034900_PL_INV_pdf.exe是ZIP附件中唯一内容。在整个提取过程中有错误或警告弹出。
图 7: 进程监控工具显示PowerArchiver 2019提取出可执行文件SHIPPING_MX00034900_PL_INV_pdf.exe
老版本的7Zip的行为与PowerArchiver和WinRAR类似。7Zip v9.22和更早版本的可以看到可执行文件。但从7Zip v9.34开始到v19.0,7zip可以提取出图像文件order.jpg。第二个zip结构被认为是额外的数据,因此,将提取的图像文件的特征加入了告警中。
图 8: 7Zip v19.0从ZIP附件中提取出的order.jpg
研究人员在测试过程中发现,WinRar 3.30的行为与其他软件不同。UI中ZIP附件的内容并不是提出出来的。
图 9: WinRar v3.30显示order.jpg是ZIP附件的内容。但提出出来的是SHIPPING_MX00034900_PL_INV_pdf.exe
本文翻译自:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/如若转载,请注明原文地址: https://www.4hou.com/info/news/21483.html