恶意软件拆分攻击

快捷方式最近成为一种常见的传播载体,用在开展有针对性的攻击中传播恶意软件。赛门铁克已经发现了很多种用来渗透网络的快捷方式文件,可参见先前博客文章中所描述的。我最近偶然发现了一个案例,用此类快捷方式绕过安全防护软件并成功欺骗收件人执行附件中的恶意软件。在这个案例中,恶意程序被拆分发送给收件人同时用一个快捷方式来组合成为完整的恶意软件。
恶意邮件附带的存档文件中包含一个带有文件夹图标的快捷方式和一个文件夹,这个文件夹中包含一个doc文件和两个后缀为.dat的隐藏文件。

1

图1:邮件中附带的存档文件

2

图2:Summit-Report1文件夹中的内容

对保持资源管理器默认设置的用户来说,在存档文件中只可以看到两个文件夹。点击这两个文件夹中的任意一个都会跳转到存放doc文件的那个目录。但是如果用户点击了快捷方式文件夹,其中包含的copy命令就会将两个.dat文件合并生成一个恶意程序。随后电脑就会被恶意程序感染。虽然附件文档中的文件结构可以变化,但是始终会包含一个快捷方式和许多分片文件。
3

图3:快捷方式的属性显示了一段用来组合.dat文件的脚本

~$1.dat的源代码

图4:~$1.dat的源代码

~$2.dat的源代码

图5:~$2.dat的源代码

组合完成的可执行文件源代码

图6:组合完成的可执行文件源代码

在实施攻击之前拆分恶意程序然后在被攻击者电脑中组合程序,攻击者用这个策略能达到一些目的。其中最主要的目的是避免恶意程序被检测出来。如果恶意程序被拆分成零散文件,安全防护软件就很难判断这些文件是否是恶意程序,另一个目的是阻止网关型安全防护软件剥离可执行文件。一个典型的网关型防护软件有能力根据文件类型过滤文件,并剥离邮件附件中的可执行文件。这在it部门是很常见的做法。
快捷方式在使用中是简单又有效的。他不需要利用漏洞,漏洞攻击要占用大量资源同时要求被攻击者电脑存在安全漏洞。只需要快捷方式的图标伪造成文件夹或者文档文件就行了,一旦攻击者准备好恶意程序,加上一行简单的脚本,攻击就成形了。
要怎么样来阻止此类攻击?通常来说,没有特别的理由要让邮件附件里面包含快捷方式文件。如果公司认为邮件附件中没有必要出现快捷方式,那就让网关把快捷方式文件过滤掉就行了。
赛门铁克将检测到的恶意软件标记为木马,在网上日志公布了详情。

不知道看到这里,读者们会想到copy命令有这么神奇的用法吗?所以说渗透中思路、技巧很重要哦~

[via@赛门铁克 / 91ri.org]

日币奖励:

本文为原创译文、首发91ri.org,作者由根据自己的实践撰文,根据本站积分规则给予日币奖励共5枚。