双加载的ZIP文件流传Nanocore RAT | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

双加载的ZIP文件流传Nanocore RAT

申博_新闻事件 申博 36次浏览 已收录 0个评论

大多数经由历程邮件分发到歹意软件都是打包为ZIP、RAR、7z等举行流传的。近日,研究人员发明一个新型的捏造歹意打包文件的体式格局。本文对隐蔽在NanoCore歹意软件中的新鲜的ZIP文件花样举行诠释。

垃圾邮件

研究人员发明一个函件主题的垃圾邮件进击运动。该音讯宣称来自USCO快递公司的出口营业专员,是受客户请求发送到邮件。除此之外,另有许多可疑的处所:

· Header不婚配。Reply-To和From的邮件地址是差别的。而且,Reply-To中的邮件地址是免费的Gmail邮箱。

· 音讯主体可疑。音讯中两次提到了附件,以确保引发用户对附件的注重。

· 可疑的附件名。附件“SHIPPING_MX00034900_PL_INV_pdf.zip” 的名字是以pdf.zip末端的。该文件实际上是一个zip文件。

附件

附件SHIPPING_MX00034900_PL_INV_pdf.zip让音讯很凸起。ZIP文件中有一个文件大小显著大于解压后的内容。ZIP文件的大小应当小于未紧缩的内容,有时候ZIP文件会比原始文件大一些。

ZIP文件中有一个“End of Central Directory” (EOCD)来表明紧缩文件的完毕。进一步剖析SHIPPING_MX00034900_PL_INV_pdf.zip的构造,研究人员发明附件中含有2个EOCD。第一个EOCD以后有一些分外的数据,是别的一个ZIP文件的构造。也就是说,的一个ZIP文件构造上图像文件order.jpg,而第二个zip文件构造上一个可执行文件——SHIPPING_MX00034900_PL_INV_pdf.exe。这两个文件都被紧缩过了,但当地文件header和EOCD都表明在ZIP文件中只要一个文件。

钓饵

第一个zip文件构造中包含的图像文件order.jpg 被非歹意PNG花样的图像文件。而是一个钓饵文件,用来隐蔽另一个ZIP构造的内容。虽然文件扩大名为JPG,但SEG准确识别了图像文件为PNG。

NanoCore RAT

第二个ZIP文件构造中包含的SHIPPING_MX00034900_PL_INV_pdf.exe,实际上是一个长途木马——NanoCore RAT。长途接见木马能够让进击者完整掌握被黑的机械。木马会在端口11903连接到C2服务器。NanoCore RAT版本为1.2.2.0,研究人员还发明该木马几个月前才在暗网上免费供应。

双加载的ZIP文件流传Nanocore RAT

图 3: NanoCore RAT的处置惩罚流

追溯朝鲜APT组织Lazarus的攻击历程

最近,朝鲜声名狼藉的APT组织Lazarus又开始活跃起来,先是入侵印度核电站,导致其紧急关闭一座反应堆,然后又向韩国、意大利等国发送大量钓鱼邮件进行攻击,加上今年年初的数字货币交易所入侵事件,Lazarus今年可谓是很“高产”了。鉴于我国也曾在Lazarus的攻击范围之内,下面就来了解下Lazarus组织的攻击手法,以及学习如何对其进行追踪。 APT组织概述 Lazarus别名APT38、Guardians of Peace,是隶属于朝鲜的一个APT组织。据一位叛逃到韩国的朝鲜计算机科学教授透露,该组织的成员主要来源于朝鲜RGB海外情报机构的Unit 180部队,主要负责以获得外汇为目的的攻击。 Lazarus组织自2009年就已经开

图 4: NanoCore RAT从图3中末了一步猎取的内存内容复制

差别东西看到的ZIP内容

很显著进击者尝试用dual archive的体式格局来绕过一些扫描网关。那末罕见的这些解紧缩东西是怎样处置惩罚这些样本的呢?

研究人员使用了差别的解紧缩东西来举行测试,包含PowerArchiver 2019, WinZip, WinRar, 7Zip, 和Unzip。研究人员用这些东西在Windows环境写提取SHIPPING_MX00034900_PL_INV_pdf.zip附件中的内容。这5个东西中只要WinZip和Unzip遭受了毛病,没法从zip文件中提取内容。其他的东西都从zip附件中提取了一个文件,“order.jpg”或许“SHIPPING_MX00034900_PL_INV_pdf.exe”。

WinZip v11.2和24.0, 以及Windows内置的Unzip东西将附件SHIPPING_MX00034900_PL_INV_pdf.zip识别为无效的紧缩文件。只要WinZip给出了明白的来由,ZIP的中间目次的最先部份没有找到。中间就是第二个zip构造。在图2中,第二个EOCD表明个中间目次位于文件的offset 0xd148f处,而其位于0xd40d41。

PowerArchiver 2019, WinRar, 7Zip都能够从SHIPPING_MX00034900_PL_INV_pdf.zip附件中提取一个文件。下面是一个矩阵:

最新版的PowerArchiver 2019和WinRar都以为SHIPPING_MX00034900_PL_INV_pdf.exe是ZIP附件中唯一内容。在全部提取历程当中有毛病或正告弹出。

双加载的ZIP文件流传Nanocore RAT

图 7: 历程监控东西显现PowerArchiver 2019提掏出可执行文件SHIPPING_MX00034900_PL_INV_pdf.exe

老版本的7Zip的行动与PowerArchiver和WinRAR相似。7Zip v9.22和更早版本的能够看到可执行文件。但从7Zip v9.34最先到v19.0,7zip能够提掏出图像文件order.jpg。第二个zip构造被以为是分外的数据,因而,将提取的图像文件的特性加入了告警中。

双加载的ZIP文件流传Nanocore RAT

图 8: 7Zip v19.0从ZIP附件中提掏出的order.jpg

研究人员在测试历程当中发明,WinRar 3.30的行动与其他软件差别。UI中ZIP附件的内容并非提出出来的。

 双加载的ZIP文件流传Nanocore RAT

图 9: WinRar v3.30显现order.jpg是ZIP附件的内容。但提出出来的是SHIPPING_MX00034900_PL_INV_pdf.exe

本文翻译自:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明双加载的ZIP文件流传Nanocore RAT
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址