هشدار محققان درباره

استفاده از فایل‌های فشرده برای دور زدن لایه‌های امنیتی در سرویس‌های ایمیلی

محققان امنیتی به‌تازگی موفق به شناسایی یک کمپین فیشینگ شده‌اند که با استفاده از فایل‌های فشرده دستکاری شده برای دور زدن لایه‌های امنیتی در سرویس‌های ایمیلی، اقدام به توزیع هدفمند بدافزار NanoCore RAT می‌کند.

مهاجمان همیشه به دنبال راه‌های جدیدی هستند تا بتوانند بدون شناخته شدن توسط اسکنرهای آنتی‌ویروس و لایه‌های امنیتی در سرویس‌های ایمیلی، مانند secure email gateways، بدافزار‌های خود را توزیع کنند. 

بنا بر گزارش‌های منتشر شده، محققان امنیتی یک کمپین جدید فیشینگ شناسایی کرده‌اند که از فایل‌های فشرده، مانند فایل‌های زیپ شده برای دور زدن لایه‌های امنیتی در سرویس‌های ایمیلی، به‌عنوان تکنیکی برای توزیع بدافزار NanoCore RAT استفاده می‌کند.

به‌گفته محققان همه فایل‌های زیپ به‌کار رفته در این کمپین دارای ساختار متفاوتی با فایل‌های فشرده معمول دارند. به‌طور معمول هر فایل فشرده دارای یک رکورد تعریف شده برای مشخص کردن محتوا و ساختار فایل‌های آرشیو شده در خود (EOCD) است که در فایل‌های به‌کار رفته در این کمپین، از دو رکورد EOCD استفاده شده است.

محققان با بررسی این موضوع دریافته‌اند که اولین ساختار EOCD فایل زیپ، شامل یک فایل تصویری بی‌خطر است. اما ساختار EOCD دوم، حاوی فایل تروجان دسترسی از راه دور NanoCore است که براساس بررسی‌های تکمیلی، مشخص شده که مهاجمان از این روش برای دور زدن لایه‌های امنیتی در سرویس‌های ایمیلی استفاده می‌کنند.

نکته قابل توجه درمورد این فایل‌های فشرده این است که هنگام تلاش برای باز کردن فایل‌های آرشیوی با استفاده از برنامه‌های مختلف استخراج کننده، عکس‌العمل متفاوت است.

برای مثال استخراج‌کننده Windows built-in ZIP نشان می‌دهد که فایل زیپ نامعتبر بوده و عملیات استخراج را نمی‌تواند انجام دهد. همچنین استخراج‌کننده 7-Zip 9.20 هشدار می‌دهد که فایل زیپ دچار یک مشکل است، اما در نهایت آن را استخراج می‌کند. اما استخراج‌کننده WinRAR اخطاری درباره فایل زیپ شده نمایش نمی‌دهد و یک فایل SHIPPING_MX00034900_PL_INV_pdf.exe را که شامل بدافزار NanoCore است، استخراج می‌کند.

این امر نشان می‌دهد که در حالی که این شیوه ممکن است به دور زدن اسکنر‌های امنیتی در سرویس‌های ایمیلی کمک کند، دارای عوارض جانبی از جمله دشوار بودن استخراج پی‌لود مخرب است. این مسئله موجب می‌شود که تعداد قربانیان احتمالی این کمپین بدافزاری از میزبان پیش‌بینی شده توسط مهاجمان کم‌تر باشد.

 

 

توضیحات بیشتر در:

Specially Crafted ZIP Files Used to Bypass Secure Email Gateways