可疑文件_特制的ZIP文件能够绕过电子邮件安全网关
图片来源:Bleeping Computer
一直以来,攻击者不停在寻找新的手段来散播恶意软件。
同时又不会被防病毒扫描软件和电子邮件安全网关检测到。
近期,一项新的网络钓鱼活动实现了此目的。
包含两个EOCD的ZIP文件
近日,一起冒充USCO Logistics出口操作专家运送消息的邮件大量散布,实际上这是一种新型的垃圾邮件,而其中的附件ZIP文件经过特制之后能够绕过电子邮件的安全网关来分发恶意的RAT。
一般来说,每个ZIP文件必须有且只有一个End of central directory record(EOCD) ,即目录结束标识。
该标识存在整个ZIP文件的结尾,用于标记压缩的目录数据的结束。
研究人员之所以发现这个可疑的文档,是因为其文件大小大于未压缩的内容。
在对这个文件进行检查时,研究人员发现ZIP压缩包中包含两个不同的结构,每个结构都有自己的EOCD记录标识。
这很明显是与一般情况相违背的。
由此研究人员推断,ZIP文件是经过特殊设计的,才会包含两个存档结构。
第一个ZIP结构使用一个order.jpg文件做诱饵,它只是一个无害的图像文件。但是,第二个ZIP结构包含一个名为SHIPPING_MX00034900_PL_INV_pdf.exe的文件,它实际上是一个远程访问木马(RAT)。
而攻击者这么做的目的则是为了绕过电子邮件的安全网关,使其只能看到作为诱饵的图像文件。
不同的解压结果
此外,研究人员发现,使用不同的应用程序解压ZIP文件时,会出现不同的结果,这也就表明每个解压软件对ZIP的处理方式有所不同。
例如,使用Windows内置的ZIP解压程序会显示ZIP文件无效,因此并不会提取该恶意软件。
使用7-Zip进行测试时,它会提醒我们ZIP文件存在问题,但依然能够提取文件,只不过提取出来的只有jpg图像文件。
在使用WinRAR提取文件时,并未发出警告,同时还提取出了恶意软件。
在测试了众多软件之后,研究人员发现只有某些版本的PowerArchiver,WinRAR和较旧的7-Zip才能完整提取恶意可执行文件。
这表明,尽管这项技术十分新颖,能够绕过电子邮件的安全扫描,但其发挥作用的恶意负载目前还不会轻易被提取,因此受感染的受害者会比预期少很多。
* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。
* 原文链接:
https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/
可疑文件_特制的ZIP文件能够绕过电子邮件安全网关相关推荐
- java zip 替换文件_替换一个Zip文件而不解压缩在Java
我有一个zip文件,我想用另一个文件替换它里面的一个文件.因此,不需要删除zip条目,只需将zip条目的文件替换为另一个条目即可.替换一个Zip文件而不解压缩在Java 这是我试过的. public ...
- python解压文件_使用Python实现文件压缩和解压
大家可能都熟悉.zip格式的文件.它可以把多个文件,压缩成一个文件.这在网络上传输时很有用,而且节省硬盘空间. 接下来,我们使用Python实现压缩和解压. 读取ZIP文件信息 要读取ZIP文件的内容 ...
- php将文件夹打包zip文件,php将文件夹打包成zip文件
php将文件夹打包成zip文件:function addFileToZip($path,$zip){ $handler=opendir($path); //打开当前文件夹由$path指定. while ...
- c++创建文件_使用Python实现文件压缩和解压
(点击上方快速关注并设置为星标,一起学Python) 来源:网络 大家可能都熟悉.zip格式的文件.它可以把多个文件,压缩成一个文件.这在网络上传输时很有用,而且节省硬盘空间. 接下来,我们使用Pyt ...
- Python压缩新文件到已有ZIP文件
本文要点在于使用Python标准库zipfile创建压缩文件时,如果使用'a'模式时,可以追加新内容. from zipfile import ZipFile from os import listd ...
- 将文件夹压缩成zip文件
一 代码 package ZipFile;import org.apache.commons.io.FileUtils; import org.apache.commons.lang.StringUt ...
- php 文件夹打包_php将文件夹打包成zip文件
php将文件夹打包成zip文件:function addFileToZip($path,$zip){ $handler=opendir($path); //打开当前文件夹由$path指定. while ...
- vb.net 解压缩(文件/文件夹解压缩,zip文件浏览,单文件解压,分卷压缩)
vb.net 解压缩(文件/文件夹解压缩,zip文件浏览,单文件解压,分卷压缩) DLL:Ionic.Zip.dll 说明: 1.解压/压缩 显示加密进度及总进度. 2.zip文件打开,浏览内部文件. ...
- linux 解压文件夹下所有zip文件
解压上述文件. find . -name '*.zip' # 查看当前文件夹下所有zip文件 cd zip文件的父级文件夹目录 unzip '*.zip' # 运行此命令即可 还有一种方法, 直接使用 ...
最新文章
- git for c#, clone方法
- updateStateByKey--word count
- Know more about AWR Parse Statistics
- Linux文件系统的隐藏权限:chattr lsattr(journal)
- 《敏捷个人-认识自我、管理自我.pdf》更新至 v0.7
- 超级史诗灯光人舞蹈,神作!
- P1600-天天爱跑步【LCA,桶,树上差分】
- 电脑基本快捷键的使用
- scrapy python下载图片_使用Scrapy自带的ImagesPipeline下载图片,并对其进行分类。
- 关于scanf 函数,你很少了解的“秘密”
- oracle存储过程转mysql存储过程修改方法
- BZOJ 3685 普通van Emde Boas树 权值线段树(zkw)
- 图片字符串base64的判断
- [PHP] - Laravel 5 的 Hello Wold
- NSGA2算法原理及python实现
- 造车新势力回港:蔚来能重拾“老大哥”头衔吗?
- 程序员真的是吃青春饭的吗?
- 关于站内信的开发思路
- 微信小程序合成二维码海报
- TexStudio 快捷键 ctrl+R 查找替换
热门文章
- SAP Spartacus category在breadcrumb里显示不正确的一个问题
- 一份我们团队Java开发的开发规范,参考了阿里巴巴Java开发手册终极版v1.3.0
- SAP系统和微信集成的系列教程之一:微信开发环境的搭建
- 2020年10月21日 星期三 工作日志
- SAP S/4HANA Customer Management(CRM)模块的扩展性设计
- 微信开发系列之八 - 微信公众号的地图集成
- 将S/4HANA的自定义BO功能以Web Service的方式暴露给第三方
- 利用SAP Cloud Platform control center给global账号分配服务
- ABAP string函数一览
- 容器,Docker, Kubernetes和Kyma,以及Kyma对SAP的意义