الصفحات
بحث
Gootloader يستخدم أرشيفات ZIP من 1,000 جزء للتسليم الخفي
الأمن السيبراني #Gootloader #ZIP_archives

Gootloader يستخدم أرشيفات ZIP من 1,000 جزء للتسليم الخفي

منذ ساعة 2 مشاهدة 0 تعليق 1 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
2 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في تطور جديد، أصبح برنامج Gootloader الخبيث، الذي يستخدم عادةً للوصول الأولي، يعتمد الآن على أرشيف ZIP معطوب مصمم لتجنب الكشف من خلال دمج ما يصل إلى 1,000 أرشيف.

Gootloader now uses 1,000-part ZIP archives for stealthy delivery
Gootloader now uses 1,000-part ZIP archives for stealthy delivery

يؤدي ذلك إلى أن البرنامج، الذي هو ملف JScript مؤرشف، يتسبب في تعطل العديد من الأدوات عند محاولة تحليله.

وفقًا للباحثين، يتم فك ضغط الملف الضار بنجاح باستخدام الأداة الافتراضية في ويندوز، لكن الأدوات التي تعتمد على 7-Zip وWinRAR تفشل.

لتحقيق ذلك، يقوم الفاعل الخبيث بدمج ما بين 500 و1,000 أرشيف ZIP، ولكنه يستخدم أيضًا حيلًا أخرى لجعل التحليل من قبل أدوات التحليل أكثر صعوبة.

لقد كان برنامج Gootloader نشطًا منذ عام 2020 ويستخدمه العديد من العمليات الإجرامية الإلكترونية، بما في ذلك نشر برامج الفدية.

بعد توقف دام سبعة أشهر، عادت العملية في نوفمبر الماضي، كما أفاد باحثو الأمن في Huntress Labs وDFIR Report.

بينما كانت أرشيفات ZIP المعطوبة موجودة في ذلك الوقت، إلا أنها جاءت مع تعديلات طفيفة، وكان هناك عدم تطابق في أسماء الملفات عند محاولة استخراج البيانات.

لتعزيز مقاومة التحليل في هذه المرحلة، نفذ مشغلو Gootloader الآن آليات تشويش أكثر شمولاً، وفقًا للباحثين في Expel الذين يحللون العينات الحديثة.

تحديدًا، الآليات التالية تُستخدم الآن لتجنب الكشف والتحليل:

  • دمج ما يصل إلى ألف أرشيف ZIP، مستغلين حقيقة أن المحللات تقرأ من نهاية الملف.
  • استخدام نهاية معطوبة لدليل المركز (EOCD) تفتقر إلى بايتين إلزاميين، مما يكسر التحليل بواسطة معظم الأدوات.
  • عشوائية حقول رقم القرص، مما يتسبب في توقع الأدوات لأرشيفات متعددة غير موجودة.
  • إضافة عدم تطابق في البيانات الوصفية بين رؤوس الملفات المحلية ومدخلات دليل المركز.
  • توليد عينات ZIP وJScript فريدة لكل تحميل لتفادي الكشف الثابت.
  • تسليم ZIP ككتلة مشفرة XOR، والتي يتم فك تشفيرها وإلحاقها بشكل متكرر على جانب العميل حتى تصل إلى الحجم المطلوب، متجنبة الكشف القائم على الشبكة.
Mismatches between the Local File Header and Central Directories
Mismatches between the Local File Header and Central Directories

بمجرد تنفيذها على المضيف، يتم تنشيط JScript الخاص بالبرمجية الخبيثة عبر Windows Script Host (WScript) من دليل مؤقت ويؤسس الاستمرارية من خلال إضافة ملفات اختصار (.LNK) إلى مجلد بدء التشغيل التي تشير إلى ملف JScript ثانٍ.

يتم تنفيذ هذه الحمولة عند الإطلاق الأول، ومع كل بدء تشغيل للنظام، مما يؤدي إلى تشغيل CScript مع أسماء NTFS القصيرة، تليها PowerShell التي تستدعي PowerShell.

بينما أضاف مؤلفو Gootloader تقنيات فساد متعددة لتجنب الكشف دون كسر الوظائف، استخدم الباحثون في Expel الشذوذ الهيكلي الذي يسمح للدفاعين برصد التهديد. كما شارك الفريق قاعدة YARA التي "يمكن أن تحدد بشكل متسق أرشيفات ZIP الحالية."

يعتمد الكشف على رصد مجموعة محددة من ميزات رأس ZIP، ومئات من رؤوس الملفات المحلية المتكررة، وسجلات EOCD.

يوصي الباحثون بأن يغير الدفاعون التطبيق الافتراضي لفتح ملفات JScript إلى Notepad بدلاً من Windows Script Host، لمنع تنفيذها.

لتقليل سطح الهجوم، تنصح Expel بحظر wscript.exe وcscript.exe من تنفيذ المحتوى الذي تم تنزيله إذا لم تكن ملفات JScript مطلوبة.

الخلاصة

تقدم Gootloader تقنيات جديدة لتجنب الكشف، مما يستدعي من المتخصصين في الأمن اتخاذ تدابير وقائية لضمان الحماية الفعالة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##Gootloader ##ZIP_archives ##malware

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!