安基網 首頁 電腦 殺毒安全 查看內容

一次險些讓分析師和防御機制都失效的“無頭文件”攻擊

2019-4-9 11:20| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 摘要Cofense Intelligence近日在一場通過惡意附件傳播的網絡釣魚活動中,發現了一個有趣的現象,惡意文件中包含了一個看似“損壞”實際卻能執行的文件。在某些條件下,該文件能避開自動和手動分析,并能在目標環境中武器化。“損壞”指的是文件缺乏文件頭,其設計初衷可能是讓分析人員誤以為附件是無害 ...

摘要

Cofense Intelligence近日在一場通過惡意附件傳播的網絡釣魚活動中,發現了一個有趣的現象,惡意文件中包含了一個看似“損壞”實際卻能執行的文件。在某些條件下,該文件能避開自動和手動分析,并能在目標環境中武器化。

“損壞”指的是文件缺乏文件頭,其設計初衷可能是讓分析人員誤以為附件是無害的,覺得只是攻擊者犯下的一個簡單的錯誤,不值得認真對待。但只有當你打開附件或使用特殊程序提取附件時,才會出現無頭文件。

此項攻擊行動試圖利用當前一個普遍存在的問題:信息超載。當分析人員或自動防御系統處理堆積如山的信息時,為了效率他們有時會忽略一些錯誤的文件,因為它們看起來像是良性的。在此行動中,如果目標環境允許,文件會下載一個腳本來修復“丟失”的頭文件,繼而運行完整的文件。

雖然此項行動中運用的多階段規避技術只是一個例外,在當前并沒有形成趨勢,但是對此手段的大肆運用可能導致毀滅性的結果。為了防范類似的攻擊,明智的做法是將分析師的經驗和自動化分析相結合。

細節

Cofense Intelligence最近注意到了一場攻擊行動,攻擊者運用了一個看似“損壞”的可執行文件來躲過防御系統的檢測,并且該文件能在目標環境中完全武器化。粗略的分析表明,可執行文件缺少了正確的“文件頭”,由于缺少文件頭,分析師很有可能就簡單地將威脅行為者的手段視為低級錯誤而不予理睬。事實上,攻擊者設計的初衷就是如此,并讓文件通過腳本下載來修復“文件頭”,再對完整的可執行文件進行執行(前提是滿足托管環境中所需條件)。

文件頭

文件頭本質上是幫助操作系統確定如何解釋文件的內容,可以指示幾個因素,例如文件是存檔文件還是可執行文件。大多數Windows可執行文件都以字符MZ開頭,這個MZ頭幾乎總是存在的,即使在可執行文件被加殼、混淆或嵌入時也是如此。可執行文件的十六進制內容和MZ頭,如圖1所示。

圖1:可執行文件的MZ文件頭的十六進制視圖

如果該頭文件不存在,則可執行文件將無法執行。一些分析人員、自動分析系統或是可執行提取程序將忽略任何沒有頭信息的文件,并認為文件已遭到破壞。圖2中顯示了圖1中相同可執行文件的示例,但缺少MZ標頭。

圖2:缺少MZ標頭的圖1文件

圖1中的可執行文件在沒有MZ頭的情況下無法運行。相反,要使圖2中的可執行文件運行,只需要在二進制文件的頂部添加“MZ”即可。

創建可執行文件流程

在Cofense Intelligence觀察到的攻擊行動中,惡意文檔將植入一個嵌入式對象,并將其視為部分可執行文件,文件頭如圖2所示。由于此可執行文件沒有MZ標頭,因此VirusTotal上的防病毒引擎檢測到的檢出率為2/58。這也意味著,分析人員如果將其作為可執行文件運行的話將不會成功,他們可能會認為此文件已被破壞——理論上來說這種邏輯是沒錯的。一旦部分可執行文件植入成功,惡意文檔就會利用CVE-2017-11882(一個Office遠程代碼執行漏洞,出現在公式編輯器中)下載并執行.hta文件的內容,如圖3所示。

圖3:下載的.hta文件的內容

此腳本有四個步驟。第一步是創建一個文件“~F9.TMP”,內容為“MZ”:

圖4:創建可執行文件的第一步

第二步將新文件(“MZ”)的內容添加到名為“~AFER125419.TMP”的文件的開頭。文件“~AFER125419.TMP”是原始可執行文件中嵌入對象的名稱:

圖5:創建可執行文件的第二步

添加“MZ”標頭后,新文件與圖1所示的文件相同。雖然文件保留.TMP擴展名,但仍然可以從命令行以可執行文

圖6:創建可執行文件的第三步

在最后一步中,此二進制文件被復制到Windows“Startup”文件夾,并被重命名為可執行文件,并確保它將在下一次計算機啟動時運行。此舉提供了持久性。

圖7:創建可執行文件的第四步

后續

本文中的惡意文檔實際上是由反病毒公司檢測到的,這主要是因為它使用了一個最小混淆的方程編輯器漏洞和一個嵌入的對象。當惡意文件剛植入磁盤時,VirusTotal對可執行對象的檢出率只有2/58,而通過添加“MZ標頭”重塑可執行對象后,檢測比率會跳到40/71,這的確能表明MZ標頭的缺失會使大部分分析人員和自動化系統感染迷惑。而“二進制文件只有在經過下載的腳本修改之后才能作為可執行文件運行”,這一信息在幾個層面上造成了分析的干擾:

首先,計算機必須能夠訪問互聯網,這可以防止二進制文件在某些沙箱和分析環境中運行。因為這些環境默認情況下是不具有Internet訪問權限的。而對此二進制文件進行的任何手動靜態分析都會讓其“被破壞”,從而增加了該文件被忽略的可能性。

為了進行進一步的分析,腳本需是可用的。如果腳本下載源被攻擊者刪除或其他原因而不可用,則二進制文件永遠不會成為可執行文件,并且不太可能被檢測到。

最后,如果腳本是單獨下載并運行的,它將創建兩個2字節的文件,并顯示一條錯誤消息,進一步讓分析人員加深它就是一個糟糕的惡意軟件的印象。

不容忽視的問題——信息超載

信息超載對任何企業來說都是一個不容小覷的問題。為了能夠快速處理和確定信息的優先級,分析人員和技術防御人員有時會忽略那些運行不了的“損毀”文件。哪怕這些文件能夠確認是一種威脅,分析人員往往也會被迫優先考慮破壞性更明顯的惡意軟件,而不是想著怎么修復一個“損毀”樣本。而且,即使修復了“損毀”樣本,往往也只有滿足一定標準時惡意文檔才能有效。這種為了逃避檢測而使用的多級執行并不常見,但同樣具有很高的風險。為了保護自己免受類似的威脅,組織機構需要在預防程序和培訓上做一定的投入,將人工經驗和自動防御程序的分析相結合來發現此項威脅。

埃文科技——網絡空間地圖測繪領域技術專家,提供最全面、最精準的網絡空間地圖服務。

公司成立于2012年,專注于網絡空間、地理空間和社會空間的相互映射,繪制三位一體的網絡空間地圖,對網絡空間資源的靜態屬性和動態變化情況進行探測。擁有19項軟件著作權及10項發明專利。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6677460385995424264/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧