双加载的ZIP文件传播Nanocore RAT

大多数通过邮件分发到恶意软件都是打包为ZIP、RAR、7z等进行传播的。近日，研究人员发现一个新型的伪造恶意打包文件的方式。本文对隐藏在NanoCore恶意软件中的奇怪的ZIP文件格式进行解释。

垃圾邮件

研究人员发现一个信件主题的垃圾邮件攻击活动。该消息声称来自USCO快递公司的出口业务专员，是受客户要求发送到邮件。除此之外，还有很多可疑的地方：

·Header不匹配。Reply-To和From的邮件地址是不同的。而且，Reply-To中的邮件地址是免费的Gmail邮箱。

·消息主体可疑。消息中两次提到了附件，以确保引起用户对附件的注意。

·可疑的附件名。附件“SHIPPING_MX00034900_PL_INV_pdf.zip” 的名字是以pdf.zip结尾的。该文件其实是一个zip文件。

图 1: Trustwave Security Email Gateway (SEG) 展示的含有NanoCore RAT的垃圾邮件

附件

附件SHIPPING_MX00034900_PL_INV_pdf.zip让消息很突出。ZIP文件中有一个文件大小明显大于解压后的内容。ZIP文件的大小应该小于未压缩的内容，有时候ZIP文件会比原始文件大一些。

ZIP文件中有一个“End of Central Directory” (EOCD)来表明压缩文件的结束。进一步分析SHIPPING_MX00034900_PL_INV_pdf.zip的结构，研究人员发现附件中含有2个EOCD。第一个EOCD之后有一些额外的数据，是另外一个ZIP文件的结构。也就是说，的一个ZIP文件结构上图像文件order.jpg，而第二个zip文件结构上一个可执行文件——SHIPPING_MX00034900_PL_INV_pdf.exe。这两个文件都被压缩过了，但本地文件header和EOCD都表明在ZIP文件中只有一个文件。

诱饵

第一个zip文件结构中包含的图像文件order.jpg 被非恶意PNG格式的图像文件。而是一个诱饵文件，用来隐藏另一个ZIP结构的内容。虽然文件扩展名为JPG，但SEG正确识别了图像文件为PNG。

NanoCore RAT

第二个ZIP文件结构中包含的SHIPPING_MX00034900_PL_INV_pdf.exe，其实是一个远程木马——NanoCore RAT。远程访问木马可以让攻击者完全控制被黑的机器。木马会在端口11903连接到C2服务器。NanoCore RAT版本为1.2.2.0，研究人员还发现该木马几个月前才在暗网上免费提供。

图 3: NanoCore RAT的处理流

图 4: NanoCore RAT从图3中最后一步获取的内存内容复制

不同工具看到的ZIP内容

很明显攻击者尝试用dual archive的方式来绕过一些扫描网关。那么常见的这些解压缩工具是如何处理这些样本的呢？

研究人员使用了不同的解压缩工具来进行测试，包括PowerArchiver 2019, WinZip, WinRar, 7Zip, 和Unzip。研究人员用这些工具在Windows环境写提取SHIPPING_MX00034900_PL_INV_pdf.zip附件中的内容。这5个工具中只有WinZip和Unzip遭遇了错误，无法从zip文件中提取内容。其他的工具都从zip附件中提取了一个文件，“order.jpg”或者“SHIPPING_MX00034900_PL_INV_pdf.exe”。

WinZip v11.2和24.0, 以及Windows内置的Unzip工具将附件SHIPPING_MX00034900_PL_INV_pdf.zip识别为无效的压缩文件。只有WinZip给出了明确的理由，ZIP的中心目录的开始部分没有找到。中心就是第二个zip结构。在图2中，第二个EOCD表明其中心目录位于文件的offset 0xd148f处，而其位于0xd40d41。

图 5: WinZip 11.2 错误弹窗和第二个ZIP结构的中心目录和EOCD

图 6: Windows Unzip错误弹窗显示垃圾邮件中的附件是无效的

PowerArchiver 2019, WinRar, 7Zip都可以从SHIPPING_MX00034900_PL_INV_pdf.zip附件中提取一个文件。下面是一个矩阵：

最新版的PowerArchiver 2019和WinRar都认为SHIPPING_MX00034900_PL_INV_pdf.exe是ZIP附件中唯一内容。在整个提取过程中有错误或警告弹出。

老版本的7Zip的行为与PowerArchiver和WinRAR类似。7Zip v9.22和更早版本的可以看到可执行文件。但从7Zip v9.34开始到v19.0，7zip可以提取出图像文件order.jpg。第二个zip结构被认为是额外的数据，因此，将提取的图像文件的特征加入了告警中。

图 8: 7Zip v19.0从ZIP附件中提取出的order.jpg

研究人员在测试过程中发现，WinRar 3.30的行为与其他软件不同。UI中ZIP附件的内容并不是提出出来的。

注：本文翻译自：https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/double-loaded-zip-file-delivers-nanocore/