一次几乎让分析师和防御机制都失效的“无头文件”进击 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

一次几乎让分析师和防御机制都失效的“无头文件”进击

申博_新闻事件 申博 172次浏览 已收录 0个评论

使用JS绕过同源策略访问内网

研究人员发现一种利用公网上的JS脚本发起对本地网络的攻击,攻击者使用受害者的浏览器作为代理,使代码可以到达内部主机,并开展监听活动,甚至对有漏洞的服务发起攻击。 同源策略是限制不同源的页面进行交互的web app安全模型,该模型并

择要

Cofense Intelligence近日在一场经由过程歹意附件流传的收集垂纶运动中,发明了一个风趣的征象,歹意文件中包含了一个看似“损坏”现实却能实行的文件。在某些前提下,该文件能避开自动和手动剖析,并能在目的情况中兵器化。

“损坏”指的是文件缺乏文件头,其设想初志多是让剖析职员误以为附件是无害的,以为只是进击者犯下的一个简朴的毛病,不值得认真对待。但只要当你翻开附件或应用特别顺序提取附件时,才会涌现无头文件。

此项进击行动试图应用以后一个普遍存在的题目:信息超载。当剖析职员或自动防备体系处置惩罚堆积如山的信息时,为了效力他们有时会疏忽一些毛病的文件,因为它们看起来像是良性的。在此行动中,若是目的情况许可,文件会下载一个脚正本修复“丧失”的头文件,继而运转完整的文件。

虽然此项行动中应用的多阶段躲避手艺只是一个破例,在以后并没有构成趋向,然则对此手腕的放肆应用可以或许致使毁灭性的效果。为了提防相似的进击,明智的做法是将剖析师的履历和自动化剖析相结合。

细节

Cofense Intelligence近来注重到了一场进击行动,进击者应用了一个看似“损坏”的可实行文件来躲过防备体系的检测,并且该文件能在目的情况中完整兵器化。大略的剖析注解,可实行文件缺乏了准确的“文件头”,因为缺乏文件头,剖析师很有可以或许就简朴地将要挟行动者的手腕视为初级毛病而不予理睬。事实上,进击者设想的初志就是云云,并让文件经由过程剧本下载来修复“文件头”,再对完整的可实行文件举行实行(前提是知足托管情况中所需前提)。

文件头

文件头本质上是资助操作体系肯定怎样诠释文件的内容,可以或许指导几个要素,比方文件是存档文件照样可实行文件。大多数Windows可实行文件都以字符MZ开首,这个MZ头险些老是存在的,纵然在可实行文件被加壳、殽杂或嵌入时也是云云。可实行文件的十六进制内容和MZ头,如图1所示。

一次几乎让分析师和防御机制都失效的“无头文件”进击

图1:可实行文件的MZ文件头的十六进制视图

若是该头文件不存在,则可实行文件将没法实行。一些剖析职员、自动剖析体系或是可实行提取顺序将疏忽任何没有头信息的文件,并以为文件已遭到损坏。图2中显现了图1中雷同可实行文件的示例,但缺乏MZ标头。

一次几乎让分析师和防御机制都失效的“无头文件”进击

图2:缺乏MZ标头的图1文件

图1中的可实行文件在没有MZ头的情况下没法运转。相反,要使图2中的可实行文件运转,只需要在二进制文件的顶部增加“MZ”便可。

建立可实行文件流程

在Cofense Intelligence观察到的进击行动中,歹意文档将植入一个嵌入式工具,并将其视为局部可实行文件,文件头如图2所示。因为此可实行文件没有MZ标头,因此VirusTotal上的防病毒引擎检测到的检出率为2/58。这也意味着,剖析职员若是将其作为可实行文件运转的话将不会胜利,他们可以或许会以为此文件已被损坏——理论上来讲这类逻辑是没错的。一旦局部可实行文件植入胜利,歹意文档就会应用CVE-2017-11882(一个Office长途代码实行破绽,涌现在公式编辑器中)下载并实行.hta文件的内容,如图3所示。

一次几乎让分析师和防御机制都失效的“无头文件”进击

图3:下载的.hta文件的内容

此剧本有四个步调。第一步是建立一个文件“~F9.TMP”,内容为“MZ”:

一次几乎让分析师和防御机制都失效的“无头文件”进击

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

图4:建立可实行文件的第一步

第二步将新文件(“MZ”)的内容增加到名为“~AFER125419.TMP”的文件的开首。文件“~AFER125419.TMP”是原始可实行文件中嵌入工具的称号:

一次几乎让分析师和防御机制都失效的“无头文件”进击

图5:建立可实行文件的第二步

增加“MZ”标头后,新文件与图1所示的文件雷同。虽然文件保存.TMP扩展名,但仍然可以或许从命令行以可实行文一次几乎让分析师和防御机制都失效的“无头文件”进击

图6:建立可实行文件的第三步

在末了一步中,此二进制文件被复制到Windows“Startup”文件夹,并被重命名为可实行文件,并确保它将鄙人一次计算机启动时运转。此举供应了持久性。

一次几乎让分析师和防御机制都失效的“无头文件”进击

图7:建立可实行文件的第四步

后续

本文中的歹意文档现实上是由反病毒公司检测到的,这重要是因为它应用了一个最小殽杂的方程编辑器破绽和一个嵌入的工具。当歹意文件刚植入磁盘时,VirusTotal对可实行工具的检出率只要2/58,而经由过程增加“MZ标头”重塑可实行工具后,检测比率会跳到40/71,这确实能注解MZ标头的缺失会使大局部剖析职员和自动化体系沾染疑惑。而“二进制文件只要在经由下载的剧本修正以后能力作为可实行文件运转”,这一信息在几个层面上造成了剖析的滋扰:

起首,计算机必需可以或许接见互联网,这可以或许防备二进制文件在某些沙箱和剖析情况中运转。因为这些情况默许情况下是不具有Internet接见权限的。而对此二进制文件举行的任何手动静态剖析都邑让其“被损坏”,从而增加了该文件被疏忽的可以或许性。

为了举行进一步的剖析,剧本需是可用的。若是剧本下载源被进击者删除或其他原因此不可用,则二进制文件永久不会成为可实行文件,并且不太可以或许被检测到。

末了,若是剧本是零丁下载并运转的,它将建立两个2字节的文件,并显现一条毛病音讯,进一步让剖析职员加深它就是一个蹩脚的歹意软件的印象。

不容忽视的题目——信息超载

信息超载对任何企业来讲都是一个不容小觑的题目。为了可以或许疾速处置惩罚和肯定信息的优先级,剖析职员和手艺防备职员有时会疏忽那些运转不了的“损毁”文件。哪怕这些文件可以或许确认是一种要挟,剖析职员每每也会被迫优先斟酌损坏性更显着的歹意软件,而不是想着怎样修复一个“损毁”样本。并且,纵然修复了“损毁”样本,每每也只要知足肯定标准时歹意文档能力有用。这类为了回避检测而应用的多级实行其实不罕见,但一样具有很高的风险。为了珍爱本身免受相似的要挟,组织机构需要在防备顺序和培训上做肯定的投入,将人工履历和自动防备顺序的剖析相结合来发明此项要挟。

附录

表1.文件IoC:

一次几乎让分析师和防御机制都失效的“无头文件”进击

表2.收集IoC:

一次几乎让分析师和防御机制都失效的“无头文件”进击

使用JS绕过同源策略访问内网

研究人员发现一种利用公网上的JS脚本发起对本地网络的攻击,攻击者使用受害者的浏览器作为代理,使代码可以到达内部主机,并开展监听活动,甚至对有漏洞的服务发起攻击。 同源策略是限制不同源的页面进行交互的web app安全模型,该模型并


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明一次几乎让分析师和防御机制都失效的“无头文件”进击
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址