포스팅 내용

국내외 보안동향

특수 제작된 ZIP 압축파일, 보안 이메일 게이트웨이 우회 가능해

Specially Crafted ZIP archives allow bypassing secure email gateways


공격자들이 악성코드를 배포하기 위하여 특수 제작된 ZIP 파일을 통해 보안 이메일 게이트웨이 및 기타 보안 솔루션을 우회하는 새로운 기술을 고안해냈습니다. 


ZIP 아카이브 파일은 압축된 데이터, 압축된 파일에 대한 정보, 아카이브 구조의 끝을 구분하는 단일 EOCD(End of Central Directory) 기록을 포함하고 있습니다.


<출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/>


Trustwave의 연구원들은 USCO Logistics의 수출 운영 전문가가 보낸 것으로 위장하는 가짜 배송 정보 메시지를 사용하는 스팸 캠페인을 발견했습니다. 


이메일 메시지에 첨부된 이 ZIP 아카이브의 이름은 SHIPPING_MX00034900_PL_INV_pdf.zip 였으며, 압축되지 않은 콘텐츠보다 파일 용량이 훨씬 컸기 때문에 더욱 의심을 불러일으켰습니다. 


“일반적으로 ZIP 파일의 크기는 압축되지 않은 상태의 파일보다 작으며, 일부 경우 원본 파일보다 적당히 큰 경우가 있습니다.”



<출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/>


이 ZIP 아카이브는 각각의 EOCD 기록을 해킹하는 두 개의 개별 아카이브 구조를 포함하도록 특수하게 제작된 것으로 보입니다. 


첫 번째 ZIP 구조는 디코이 파일인 order.jpg를 포함하고, 두 번째 ZIP 구조는 NanoCore RAT인 SHIPPING_MX00034900_PL_INV_pdf.exe를 포함하고 있었습니다. 


이 캠페인의 배후에 있는 공격자들은 ZIP 아카이브 파일을 제작하여 보안 이메일 게이트웨이에서 악성코드에 숨

겨진 무해한 디코이 이미지 파일만을 분석하도록 유도하는 방식으로 이를 우회했습니다. 


전문가들은 압축 프로그램에 따라 ZIP 콘텐츠가 다르게 보이는 것을 발견했습니다. 예를 들면, 윈도우에 내장된 ZIP 추출기는 이 파일을 유효하지 않은 것으로 간주합니다. 


전문가들이 WinRar 3.30을 통해 이 ZIP 파일을 오픈했을 때, UI에는 이 ZIP 파일의 콘텐츠가 “order.jpg” 하나뿐이라 표시되었지만, 압축 해제 시 “SHIPPING_MX00034900_PL_INV_pdf.exe” 파일도 함께 추출되었습니다.


<출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/>


“이 샘플은 게이트웨이 스캐너에게 도전장을 던집니다. 사용하는 압축 해제 엔진에 따라 디코이 파일만 검사하고 악성 콘텐츠는 알아채지 못할 가능성이 높습니다. 가장 인기 있는 압축 프로그램 조차 두 번째 ZIP 구조를 눈치채지 못한 것처럼 말입니다.” 


“하지만 이 공격은 메시지가 게이트웨이를 통과하여 사용자가 특정 버전의 PowerArchiver, WinRar, 7Zip 등의 유틸리티를 사용할 경우에만 성공할 것입니다.”




출처 : 

https://securityaffairs.co/wordpress/93539/hacking/zip-archive-bypass-secure-email-gateways.html

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/



티스토리 방명록 작성
name password homepage