<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基网 首页 电脑 杀毒安全 查看内容

              一次险些让分析师和防御机制都失效的“无头文件”攻击

              2019-4-9 11:20| 投稿: xiaotiger |来自: 互联网


              免责声明:本站系公益性非盈利IT?#38469;?#26222;及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载?#22351;?#20043;处请从网站右下角联系我们处理,谢谢合作!

              摘要: 摘要Cofense Intelligence近日在一场通过恶意附件传播的网络钓鱼活动中,发现了一个有趣的现象,恶意文件中包含了一个看似“损坏”实际却能执行的文件。在某些条件下,该文件能避开自动和手动分析,并能在目标环境中武器化。“损坏”指的是文件缺乏文件头,其设计初衷可能是让分析人员误以为附件是无害 ...

              摘要

              Cofense Intelligence近日在一场通过恶意附件传播的网络钓鱼活动中,发现了一个有趣的现象,恶意文件中包含了一个看似“损坏”实际却能执行的文件。在某些条件下,该文件能避开自动和手动分析,并能在目标环境中武器化。

              “损坏”指的是文件缺乏文件头,其设计初衷可能是让分析人员误以为附件是无害的,觉得只是攻击者犯下的一个简单的错误,不值得?#38505;?#23545;待。但只有当你打开附件或使用特殊程序提取附件时,才会出现无头文件。

              此项攻击行动试图利用当前一个普遍存在的问题:信息超载。当分析人员或自动防御系统处理堆积如山的信息时,为了效率他们有时会忽略一些错误的文件,因为它们看起来像是良性的。在此行动中,如果目标环境允许,文件会下载一个脚本来修复“丢失”的头文件,继而运行完整的文件。

              虽然此项行动中运用的多阶段规避?#38469;?#21482;是一个例外,在当?#23433;?#27809;有形成趋势,但是对此手段的大肆运用可能导致毁灭性的结果。为了防范类似的攻击,明智的做法是将分析师的经验和自动化分析相结合。

              ?#38468;?/strong>

              Cofense Intelligence最近注意到了一场攻击行动,攻击者运用了一个看似“损坏”的可执行文件来躲过防御系统的检测,并且该文件能在目标环境中完全武器化。粗略的分析表明,可执行文件缺少了正确的“文件头?#20445;?#30001;于缺少文件头,分析师很有可能就简单地将威胁行为者的手?#38382;?#20026;?#22270;洞?#35823;而不予理睬。事实上,攻击者设计的初衷就是如此,并让文件通过脚本下载来修复“文件头?#20445;?#20877;对完整的可执行文件进行执行(前提是满足托管环境中所需条件)。

              文件头

              文件头本质上是帮助操作系统?#33539;?#22914;何解释文件的内容,可以指示几个因素,例如文件是存档文件还是可执行文件。大多数Windows可执行文件都以字符MZ开头,这个MZ头几乎总是存在的,即使在可执行文件被加壳、混淆或嵌入?#24065;?#26159;如此。可执行文件的十六进制内容和MZ头,如图1所示。

              图1:可执行文件的MZ文件头的十六进制视图

              如果该头文件不存在,则可执行文件将无法执行。一些分析人员、自动分析系统或是可执行提取程序将忽略任何没有头信息的文件,并认为文件?#35328;?#21040;破坏。图2中显示了图1中相同可执行文件的示例,但缺少MZ标头。

              图2:缺少MZ标头的图1文件

              图1中的可执行文件在没有MZ头的情况下无法运行。相反,要使图2中的可执行文件运行,只需要在二进制文件的顶部添加“MZ”即可。

              创建可执行文件流程

              在Cofense Intelligence观察到的攻击行动中,恶意文档将植入一个嵌入式对象,并将其视为部分可执行文件,文件头如图2所示。由于此可执行文件没有MZ标头,因此VirusTotal上的防病毒引擎检测到的检出率为2/58。这也意味着,分析人员如果将其作为可执行文件运行的话将不会成功,他们可能会认为此文件已被破坏——理论上来说这?#33268;?#36753;是没错的。一旦部分可执行文件植入成功,恶意文档?#31361;?#21033;用CVE-2017-11882(一个Office远程代码执行漏洞,出现在公式编辑器中)下载并执行.hta文件的内容,如图3所示。

              图3:下载的.hta文件的内容

              此脚本有四个步骤。第一步是创建一个文件“~F9.TMP?#20445;?#20869;容为“MZ?#20445;?/p>

              图4:创建可执行文件的第一步

              第二步将新文件(“MZ?#20445;?#30340;内容添加到名为“~AFER125419.TMP”的文件的开头。文件“~AFER125419.TMP”是原始可执行文件中嵌入对象的名称:

              图5:创建可执行文件的第二步

              添加“MZ”标头后,新文件与图1所示的文件相同。虽然文件保留.TMP扩展名,但仍然可以?#29992;?#20196;行以可执行文

              图6:创建可执行文件的第三步

              在最后一步中,此二进制文件被复制到Windows“Startup”文件夹,并被重命名为可执行文件,并确保它将在下一次计算机启动时运行。此举提供了持久性。

              图7:创建可执行文件的第四步

              后续

              本文中的恶意文档实际上是由反病毒公司检测到的,这主要是因为它使用了一个最小混淆的方程编辑器漏洞和一个嵌入的对象。当恶意文件刚植入磁盘时,VirusTotal对可执行对象的检出?#25163;?#26377;2/58,而通过添加“MZ标头”重塑可执行对象后,检测比率会跳到40/71,这的确能表明MZ标头的缺失会使大部分分析人员和自动化系统感?#20037;?#24785;。而“二进制文件只有在经过下载的脚本修改之后才能作为可执行文件运行?#20445;?#36825;一信息在几个层面上造成了分析的干扰:

              首先,计算机必须能?#29615;?#38382;互联网,这可以防止二进制文件在某些沙箱和分析环境中运行。因为这些环境默认情况下是不具有Internet访问权限的。而对此二进制文件进行的任何手动静态分析都会让其“被破坏?#20445;?#20174;而增加了该文件被忽略的可能性。

              为了进行进一步的分析,脚本需是可用的。如果脚本下载源被攻击者?#22659;?#25110;其他原因而不可用,则二进制文件永远不会成为可执行文件,并且不太可能被检测到。

              最后,如果脚本是单独下载并运行的,它将创建两个2字节的文件,并显示一条错误消息,进一步让分析人员?#30001;?#23427;就是一个糟糕的恶意软件的印象。

              不容忽视的问题——信息超载

              信息超载对任何企业来说都是一个不容小觑的问题。为了能够快速处理和?#33539;?#20449;息的优先级,分析人员和?#38469;?#38450;御人员有时会忽略那些运行不了的“损毁”文件。哪怕这些文件能够确认是一种威胁,分析人员往往?#19981;?#34987;迫优先考虑破坏性更明显的恶意软件,而不是想着怎么修复一个“损毁”样本。而且,即使修复了“损毁”样本,往往也只有满足一定标?#38469;?#24694;意文档才能有效。这种为了逃避检测而使用的多级执行并不常见,但同样具有很高的风险。为了保护自己免受类似的威胁,组织机构需要在预防程序和培训上做一定的投入,将人工经验和自动防御程序的分析相结合来发现此项威胁。

              埃文科技——网络空间地图测绘领域?#38469;?#19987;家,提供最全面、最精准的网络空间地图服务。

              公?#22659;?#31435;于2012年,专注于网络空间、地理空间和社会空间的相互?#25104;洌?#32472;制三位一体的网络空间地图,对网络空间资源的静态属性和动态变化情况进行探测。拥有19项软件著作权及10项发明专利。



              小编推荐:欲学习电脑?#38469;酢?#31995;统维护、网络管理、编程开发和安全攻防等高端IT?#38469;酰?#35831; 点击这里 注册账号,公开课?#26723;?#20215;值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

              本文出自:https://www.toutiao.com/i6677460385995424264/

              免责声明:本站系公益性非盈利IT?#38469;?#26222;及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载?#22351;?#20043;处请从网站右下角联系我们处理,谢谢合作!


              鲜花

              握手

              雷人

              路过

              鸡蛋

              相关阅读

              最新评论

               最新
              返回顶部
              十一选五奖金对照表 彩票介绍 深圳风采2019036 cf真人游戏生化视频 2019年平特肖公式网站 体彩p3专家杀码 七星彩今期冷热号分析 娱乐城去英皇开户吧 3d历史上315期开奖记录 新疆25选7号码统计 北京快三开奖数据 极速时时彩是不是假的 湖南快乐十分走势图 pk10一万本金怎样打稳 深圳风采今晚开奖结果记录 内蒙古时时彩最新开奖号码