특수 제작된 ZIP 압축파일, 보안 이메일 게이트웨이 우회 가능해

Specially Crafted ZIP archives allow bypassing secure email gateways

공격자들이 악성코드를 배포하기 위하여 특수 제작된 ZIP 파일을 통해 보안 이메일 게이트웨이 및 기타 보안 솔루션을 우회하는 새로운 기술을 고안해냈습니다. 

ZIP 아카이브 파일은 압축된 데이터, 압축된 파일에 대한 정보, 아카이브 구조의 끝을 구분하는 단일 EOCD(End of Central Directory) 기록을 포함하고 있습니다.

<출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/>

Trustwave의 연구원들은 USCO Logistics의 수출 운영 전문가가 보낸 것으로 위장하는 가짜 배송 정보 메시지를 사용하는 스팸 캠페인을 발견했습니다. 

이메일 메시지에 첨부된 이 ZIP 아카이브의 이름은 SHIPPING_MX00034900_PL_INV_pdf.zip 였으며, 압축되지 않은 콘텐츠보다 파일 용량이 훨씬 컸기 때문에 더욱 의심을 불러일으켰습니다. 

“일반적으로 ZIP 파일의 크기는 압축되지 않은 상태의 파일보다 작으며, 일부 경우 원본 파일보다 적당히 큰 경우가 있습니다.”

<출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/>

이 ZIP 아카이브는 각각의 EOCD 기록을 해킹하는 두 개의 개별 아카이브 구조를 포함하도록 특수하게 제작된 것으로 보입니다. 

첫 번째 ZIP 구조는 디코이 파일인 order.jpg를 포함하고, 두 번째 ZIP 구조는 NanoCore RAT인 SHIPPING_MX00034900_PL_INV_pdf.exe를 포함하고 있었습니다. 

이 캠페인의 배후에 있는 공격자들은 ZIP 아카이브 파일을 제작하여 보안 이메일 게이트웨이에서 악성코드에 숨

겨진 무해한 디코이 이미지 파일만을 분석하도록 유도하는 방식으로 이를 우회했습니다. 

전문가들은 압축 프로그램에 따라 ZIP 콘텐츠가 다르게 보이는 것을 발견했습니다. 예를 들면, 윈도우에 내장된 ZIP 추출기는 이 파일을 유효하지 않은 것으로 간주합니다. 

전문가들이 WinRar 3.30을 통해 이 ZIP 파일을 오픈했을 때, UI에는 이 ZIP 파일의 콘텐츠가 “order.jpg” 하나뿐이라 표시되었지만, 압축 해제 시 “SHIPPING_MX00034900_PL_INV_pdf.exe” 파일도 함께 추출되었습니다.

<출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/>

“이 샘플은 게이트웨이 스캐너에게 도전장을 던집니다. 사용하는 압축 해제 엔진에 따라 디코이 파일만 검사하고 악성 콘텐츠는 알아채지 못할 가능성이 높습니다. 가장 인기 있는 압축 프로그램 조차 두 번째 ZIP 구조를 눈치채지 못한 것처럼 말입니다.” 

“하지만 이 공격은 메시지가 게이트웨이를 통과하여 사용자가 특정 버전의 PowerArchiver, WinRar, 7Zip 등의 유틸리티를 사용할 경우에만 성공할 것입니다.”

출처 : 

https://securityaffairs.co/wordpress/93539/hacking/zip-archive-bypass-secure-email-gateways.html

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/