导语:该载荷在首次启动及每次系统开机时执行,利用 NTFS 短文件名触发 CScript,随后由 PowerShell 生成另一个 PowerShell 进程。
通常用于初始访问的Gootloader恶意软件,现采用一种畸形 ZIP 压缩包设计来规避检测,其手段是将多达 1,000 个压缩包进行拼接。
这样一来,这个本质上是归档 JScript 文件的恶意软件,会导致许多分析工具在尝试解析时直接崩溃。
研究人员称,虽然 Windows 自带的默认解压工具能成功解包该恶意文件,但依赖 7-Zip 和 WinRAR 的工具却会失败。
为实现这一目的,该恶意软件背后的威胁组织将 500 至 1,000 个 ZIP 压缩包拼接在一起,并辅以其他技巧,使分析工具的解析过程变得异常困难。
Gootloader 恶意软件加载器自 2020 年起便活跃至今,被各类网络犯罪活动(包括勒索软件部署)所利用。
据安全研究人员发现,该团伙在沉寂七个月后,于去年 11 月卷土重来。
虽然当时就已出现畸形 ZIP 压缩包,但仅包含微小修改,且在尝试提取数据时会出现文件名不匹配的问题。研究人员对近期样本的分析,为进一步加强该阶段的反分析能力,Gootloader 运营商现已实施了更为广泛的混淆机制。
具体而言,目前采用以下机制来规避检测与分析:
1.拼接多达一千个 ZIP 压缩包:利用解析器从文件末尾开始读取的特性。
2.使用截断的中央目录结束标记(EOCD):缺失两个强制字节,导致大多数工具解析失败。
3.随机化磁盘数字段:导致工具误认为存在不存在的多磁盘压缩包。
4.添加本地文件头与中央目录项之间的元数据不匹配。
5.为每次下载生成唯一的 ZIP 和 JScript 样本:以规避静态检测。
6.以 XOR 编码的二进制大对象(Blob)形式投递 ZIP:在客户端进行解码并反复追加,直到达到所需大小,以此规避基于网络的检测。
本地文件头和中央目录之间的不匹配
一旦在主机上执行,恶意软件的 JScript 会通过 Windows 脚本宿主(WScript)从临时目录激活,并通过在“启动”文件夹中添加指向第二个 JScript 文件的快捷方式(.LNK)来建立持久化。
该载荷在首次启动及每次系统开机时执行,利用 NTFS 短文件名触发 CScript,随后由 PowerShell 生成另一个 PowerShell 进程。
尽管 Gootloader 的作者添加了多种破坏技术以在不影响功能的前提下规避检测,但研究人员利用这些结构异常特征,使防御者能够发现该威胁。
该检测机制依赖于发现特定的 ZIP 头特征组合、数百个重复的本地文件头以及 EOCD 记录。
研究人员建议防御者将打开 JScript 文件的默认应用程序改为记事本(Notepad),而非 Windows 脚本宿主(WSH),以防止其执行。 为减少攻击面,最好在不需要使用 JScript 文件的情况下,阻止 wscript.exe 和 cscript.exe 执行下载的内容。
文章来源自:https://www.bleepingcomputer.com/news/security/gootloader-now-uses-1-000-part-zip-archives-for-stealthy-delivery/如若转载,请注明原文地址
