可疑文件_特制的ZIP文件能够绕过电子邮件安全网关

最新推荐文章于 2021-04-21 09:03:31 发布
最新推荐文章于 2021-04-21 09:03:31 发布
阅读量499 收藏
点赞数
文章标签: 可疑文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27791839/article/details/112364169
版权
ec437d8df0b1e130c7fedd21a89eb440.png

图片来源:Bleeping Computer

一直以来,攻击者不停在寻找新的手段来散播恶意软件。

同时又不会被防病毒扫描软件和电子邮件安全网关检测到。

近期,一项新的网络钓鱼活动实现了此目的。

包含两个EOCD的ZIP文件

近日,一起冒充USCO Logistics出口操作专家运送消息的邮件大量散布,实际上这是一种新型的垃圾邮件,而其中的附件ZIP文件经过特制之后能够绕过电子邮件的安全网关来分发恶意的RAT。

一般来说,每个ZIP文件必须有且只有一个End of central directory record(EOCD) ,即目录结束标识。

该标识存在整个ZIP文件的结尾,用于标记压缩的目录数据的结束。

研究人员之所以发现这个可疑的文档,是因为其文件大小大于未压缩的内容。

4009d0c7190e5c10933b6d021d5cd4c6.png

在对这个文件进行检查时,研究人员发现ZIP压缩包中包含两个不同的结构,每个结构都有自己的EOCD记录标识。

这很明显是与一般情况相违背的。

df57a41680ed895684f9e053673ce0bd.png

由此研究人员推断,ZIP文件是经过特殊设计的,才会包含两个存档结构。

第一个ZIP结构使用一个order.jpg文件做诱饵,它只是一个无害的图像文件。但是,第二个ZIP结构包含一个名为SHIPPING_MX00034900_PL_INV_pdf.exe的文件,它实际上是一个远程访问木马(RAT)。

而攻击者这么做的目的则是为了绕过电子邮件的安全网关,使其只能看到作为诱饵的图像文件。

不同的解压结果

此外,研究人员发现,使用不同的应用程序解压ZIP文件时,会出现不同的结果,这也就表明每个解压软件对ZIP的处理方式有所不同。

例如,使用Windows内置的ZIP解压程序会显示ZIP文件无效,因此并不会提取该恶意软件。

58c8ed698a05d9e0b69a5abddf0e898b.png

使用7-Zip进行测试时,它会提醒我们ZIP文件存在问题,但依然能够提取文件,只不过提取出来的只有jpg图像文件。

d5eaa5e0126ff84904d34e2c107438c2.png

在使用WinRAR提取文件时,并未发出警告,同时还提取出了恶意软件。

da7cafa2cdcb9983cf9a99fe10b07f27.png

在测试了众多软件之后,研究人员发现只有某些版本的PowerArchiver,WinRAR和较旧的7-Zip才能完整提取恶意可执行文件。

这表明,尽管这项技术十分新颖,能够绕过电子邮件的安全扫描,但其发挥作用的恶意负载目前还不会轻易被提取,因此受感染的受害者会比预期少很多。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。

* 原文链接:

https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/

火星后继者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
avp.zip_c杀毒_共享文件_杀毒
09-22
标题中的"avp.zip_c杀毒_共享文件_杀毒"表明这是一个关于使用C语言编写的杀毒程序,用于处理局域网内的共享文件安全问题。这个压缩包可能包含了该杀毒软件的相关组件和执行文件。 描述中提到的"扫描局域网共享...
网络安全攻防渗透之溯源
ta737的博客
09-18 1248
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程
如何绕过网关进行文件的上传
Andre_dong的博客
11-05 2254
为什么要绕过网关去上传文件? 因为我们所有的请求都要经过网关,假如有一天网关微服务出了问题,那么我们所有的文件都上传不了,所以我们上传文件可以绕过网关去上传。 我们该如何实现绕过网关去上传? 首先你要知道,我们从浏览器发送过来的地址,都是从nginx进行代理,然后转发给网关进行匹配微服务,如果我们绕过网关的话,只需要直接从nginx配置不经过网关的地址就可以了。 像这个地址,之前我们只配置了一个地址,就是访问网关的地址,让浏览器只能发送到网关里面,现在我们在上面增多一个地址,这个是可以访问到上传文件路径的
3文件提取器_用于绕过安全电子邮件网关特制ZIP文件
weixin_31629913的博客
12-31 229
攻击者一直在寻找新的技巧来分发恶意软件,而不会被防病毒扫描程序和电子邮件网关检测到。这在一个新的网络钓鱼活动中得到了实现,该活动利用了特制ZIP文件,该文件旨在绕过安全电子邮件网关来分发NanoCore RAT。每个ZIP归档文件都包含一个特殊的结构,其中包含压缩的数据和有关压缩文件的信息。每个ZIP归档文件还包含一个“中央目录结尾”(EOCD)记录,该记录用于指示归档文件结构的结尾...
tot-asp-scan.zip_Asa Site Sca_tot_文件扫描_网站文件
09-24
本程序可以扫描服务器上的所有指定类型(asp,cer,asa,cdx)的文件,查出可疑的木马程序。系统采用扫描程序与病毒库分离的形式, 以后升级只需像杀毒软件那样升级病毒库就可以了。目前可以查杀所有流行的ASP木马程序。 ...
c# 可疑文件扫描代码(找到木马)(简)
09-05
在C#中,开发一个可疑文件扫描程序,用于检测潜在的木马病毒,是一个重要的安全措施。本示例代码提供了一个简单的实现,主要关注于扫描指定目录中的特定类型的文件(如`.asp`, `.php`, `.aspx`, `.master`)。下面...
60264.zip_SEDIM.zip_video synopsis_zip
07-15
本文将深入探讨“video synopsis using sedim”这一主题,通过解构名为“60264.zip_SEDIM.zip_video synopsis_zip”的压缩包文件,揭示其背后的SEDIM技术及其在视频摘要生成中的应用。 “SEDIM”全称为“Sequential...
snort-sort.zip_Snort 安全检测
09-24
这个"snort-sort.zip_Snort 安全检测"文件可能包含的是一个用于处理Snort生成的日志文件的脚本,名为"snort-sort.pl",这通常是用Perl编程语言编写的。 在网络安全领域,入侵检测系统(IDS)是防御机制的重要组成...
ZipperDown漏洞简单分析及防护
weixin_33932129的博客
05-18 695
0x00 序 盘古实验室在针对不同客户的iOS应用安全审计过程中,发现了一类通用的安全漏洞。该漏洞被发布在了[1]。经过盘古的分析,确认微博、陌陌、网易云音乐、QQ音乐、快手等流行应用受影响,另外还有大约10%的iOS应用应用可能受此漏洞的影响。 根据漏洞名称大概可以猜测出与zip文件有关,查询iOS上与解压相关资料可以看到,iOS并没有提供官方的unz...
评估邮件网关是否优质的五个标准
weixin_30877181的博客
07-18 143
很多人在使用邮件过程中习焉不察,把邮件写好点“发送”刷的一下瞬间即达对方收件箱,殊不知,邮件的传送有时是很不容易的一件事,正因为大多数商业资讯甚至机密文件都通过邮件传输,所以被恶意软件、网络钓鱼攻击和垃圾邮件、病毒侵扰的情况很常见。稍有不慎中了圈套还浑然不觉。别看你的邮箱使用起来很安全,那是因为有邮件网关在默默的为你遮风挡雨了。很多朋友听到这里,大感惊讶:啥子叫邮件网关? 邮件网关是用于监控企业...
使自己摆脱强制性电子邮件检查并获得积极奖励
culiyuan8310的博客
09-23 1869
Photo by Esparta 图片来自Esparta Do you check your email more often than you need to? Do you experience withdrawal symptoms when if you haven’t checked your email in a while? Compulsive email checking i...
邮件被暴力破解邮件网关如何解决
weixin_34152820的博客
04-20 846
公司架设了一台邮件服务器,但是最近老是被***,还有两次有两个账号被暴力破解了。从日志上面看到不断的有接收到不同的IP发过来的各种邮箱的连接请求。虽然根据日志把不少的IP拉进了黑名单,但还是不放心,有什么好的办法可以解决呢?其实针对上面的这个情况,有很多邮件都有一些防范的措施的。Windows环境下邮件服务器自带动态屏蔽类似的功能,定义连接过来失败的次数屏蔽设定的时间,但是这...
快速窍门绕过电子邮件病毒过滤器
culiuman3228的博客
09-23 327
How many times have you tried to email a co-worker or colleague an executable or batch file that is desperately needed and you get a message such as: 您尝试过多少次向同事或同事发送迫切需要的可执行文件或批处理文件电子邮件,并且您收到以下消息: ...
邮件伪造之SPF绕过的5种思路
热门推荐
05-17 2万+
SMTP(SimpleMail Transfer Protocol)即简单邮件传输协议,正如名字所暗示的那样,它其实是一个非常简单的传输协议,无需身份认证,而且发件人的邮箱地址是可以由发信方任意声明的,利用这个特性可以伪造任意发件人。SPF 出现的目的,就是为了防止随意伪造发件人。SPF,全称为 Sender Policy Framework,是一种以IP地址认证电子邮件发件人身份的技...
如何正确设置邮件网关 实现发送邮件
api工厂
04-21 2160
邮件官网主要用户对外发送邮件,以满足以下业务场景的需求: 用于实现邮件用户注册、重置登陆密码; 有用户留言的时候,根据不同的留言类型,发送邮件通知给指定的邮箱; 有新的订单信息,通过邮件提醒给指定的管理员或者商家; 要实现上述业务,前提是先添加邮件网关。 你可以添加多个邮件网关,系统将根据你设置的权重,自动分流/负载,避免某一个邮件网关单日发送邮件过多触发邮件服务商的风控限制。 QQ邮箱 smtp地址: smtp.qq.com smtp端口: ...
防垃圾邮件网关/防钓鱼邮件解决方案
高级基础架构专家-Hunter
05-13 1481
方案一:使用Exchange系统自带反垃圾邮件功能 方案二:使用微软EOP云端反垃圾邮件功能,可以与本地Exchange混合部署,云端做为统一入口 方案三:使用专业防垃圾邮件网关设备,例如梭子鱼、Sophos等等。 ...
Security Operation Center - Operations Development.pdf
最新发布
10-06
网络安全渗透测试漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值