北京
通常用于初始訪問的Gootloader惡意軟件,現采用一種畸形 ZIP 壓縮包設計來規避檢測,其手段是將多達 1,000 個壓縮包進行拼接。
這樣一來,這個本質上是歸檔 JScript 文件的惡意軟件,會導致許多分析工具在嘗試解析時直接崩潰。
研究人員稱,雖然 Windows 自帶的默認解壓工具能成功解包該惡意文件,但依賴 7-Zip 和 WinRAR 的工具卻會失敗。
為實現這一目的,該惡意軟件背后的威脅組織將 500 至 1,000 個 ZIP 壓縮包拼接在一起,并輔以其他技巧,使分析工具的解析過程變得異常困難。
Gootloader 惡意軟件加載器自 2020 年起便活躍至今,被各類網絡犯罪活動(包括勒索軟件部署)所利用。
據安全研究人員發現,該團伙在沉寂七個月后,于去年 11 月卷土重來。
雖然當時就已出現畸形 ZIP 壓縮包,但僅包含微小修改,且在嘗試提取數據時會出現文件名不匹配的問題。研究人員對近期樣本的分析,為進一步加強該階段的反分析能力,Gootloader 運營商現已實施了更為廣泛的混淆機制。
具體而言,目前采用以下機制來規避檢測與分析:
1.拼接多達一千個 ZIP 壓縮包:利用解析器從文件末尾開始讀取的特性。
2.使用截斷的中央目錄結束標記(EOCD):缺失兩個強制字節,導致大多數工具解析失敗。
3.隨機化磁盤數字段:導致工具誤認為存在不存在的多磁盤壓縮包。
4.添加本地文件頭與中央目錄項之間的元數據不匹配。
5.為每次下載生成唯一的 ZIP 和 JScript 樣本:以規避靜態檢測。
6.以 XOR 編碼的二進制大對象(Blob)形式投遞 ZIP:在客戶端進行解碼并反復追加,直到達到所需大小,以此規避基于網絡的檢測。
本地文件頭和中央目錄之間的不匹配
一旦在主機上執行,惡意軟件的 JScript 會通過 Windows 腳本宿主(WScript)從臨時目錄激活,并通過在“啟動”文件夾中添加指向第二個 JScript 文件的快捷方式(.LNK)來建立持久化。
該載荷在首次啟動及每次系統開機時執行,利用 NTFS 短文件名觸發 CScript,隨后由 PowerShell 生成另一個 PowerShell 進程。
盡管 Gootloader 的作者添加了多種破壞技術以在不影響功能的前提下規避檢測,但研究人員利用這些結構異常特征,使防御者能夠發現該威脅。
該檢測機制依賴于發現特定的 ZIP 頭特征組合、數百個重復的本地文件頭以及 EOCD 記錄。
研究人員建議防御者將打開 JScript 文件的默認應用程序改為記事本(Notepad),而非 Windows 腳本宿主(WSH),以防止其執行。 為減少攻擊面,最好在不需要使用 JScript 文件的情況下,阻止 wscript.exe 和 cscript.exe 執行下載的內容。
參考及來源:https://www.bleepingcomputer.com/news/security/gootloader-now-uses-1-000-part-zip-archives-for-stealthy-delivery/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
