GOOTLOADER 利用畸形 ZIP 文件绕过安全控制

HackerNews 编译，转载请注明出处：

GootLoader恶意软件使用由数百个串联归档文件组成的畸形ZIP文件来逃避检测。

GootLoader被勒索软件攻击者用于初始访问，然后移交给其他攻击者。该软件专为规避检测而设计，在过去几年中占所有绕过安全防护的恶意软件的11%。

GootLoader采用"访问即服务"模式运行，被不同团伙用来在受感染系统上投放额外的恶意负载。已知GootLoader曾使用无文件技术来传递诸如SunCrypt、REvil（Sodinokibi）勒索软件、Kronos木马以及Cobalt Strike等威胁。过去，GootLoader曾分发伪装成免费软件安装程序的恶意软件，并使用法律文件诱骗用户下载这些文件。

GootLoader是GootKit恶意软件家族的一部分，该家族自2014年以来一直活跃。Mandiant将GootKit背后的威胁行为者追踪为UNC2565。

在2025年11月重新出现后，它现在与Vanilla Tempest和Rhysida勒索软件有关联，在其第一阶段的加载器中使用畸形ZIP文件以规避分析。

GootLoader以包含恶意JScript文件的ZIP文件形式传播。在Windows系统上打开时，脚本运行并开始感染过程。该ZIP文件被故意制作成损坏的，以至于许多安全分析工具无法打开它，但Windows可以。这有助于恶意软件在受害者系统上正常工作同时避免被检测。

"攻击者创建畸形归档文件作为一种反分析技术。也就是说，许多解压缩工具无法稳定地提取它，但有一个关键的解压缩工具似乎能稳定可靠地工作：Windows系统内置的默认工具。" Expel发布的报告中写道，"通过使许多专业工具（如7zip和WinRAR）无法访问，它阻止了许多自动化工作流分析文件内容，但通过使默认的Windows解压缩器能够访问，它确保了攻击者的目标受众（潜在受害者）可以打开并运行JScript。"

该ZIP文件实际上包含了数百个粘合在一起的ZIP文件，但由于ZIP文件是从末尾开始读取的，所以仍然有效。每次下载的文件都是唯一的，因此安全工具无法依赖文件指纹。

该ZIP文件还具有损坏和随机的元数据，这会让许多分析工具感到困惑，而Windows仍然可以打开它。这使得恶意软件可以绕过防御，迫使安全团队依赖基于行为的检测，而不是文件签名。

GootLoader使用一个由500-1000个ZIP归档文件粘合而成的畸形ZIP文件，由于ZIP文件从末尾读取，它仍然有效。该文件在受害者系统上由编码数据构建而成，以规避网络检测。其目录结构部分损坏，关键字段被随机化，这让许多归档工具感到困惑，但在Windows上仍可使用。

"该文件由500-1000个串联在一起的ZIP归档文件组成。因为ZIP归档文件是从文件末尾读取的，所以ZIP归档文件仍然可以正常运行。"报告继续写道，"串联在一起的ZIP归档文件数量是随机的，并且ZIP归档文件本身在下载时生成。"

攻击首先向受害者发送一个编码文件，该文件在下载时看起来无害。在用户的浏览器中，此数据被解码并反复复制，直到形成一个ZIP文件，从而绕过安全检查。当受害者打开它时，Windows会自动显示一个JavaScript文件。运行它会启动恶意软件，创建用于持久化的启动快捷方式，并使用PowerShell继续攻击。

为了降低风险，组织应在不需要时阻止wscript和cscript，并防止JavaScript文件自动运行。

为了防御GootLoader，组织应默认阻止JavaScript文件运行，在不需要时限制或阻止wscript和cscript，并使用组策略对象（GPO）在记事本中打开.js文件。检测应侧重于异常的ZIP行为、从临时文件夹执行脚本、创建启动快捷方式以及可疑的进程链（例如cscript启动PowerShell）。

"检测应侧重于ZIP归档文件的异常行为和后续的进程执行链。"报告总结道。

• "监控wscript.exe执行位于AppData\Local\Temp目录中的.js文件。
• 监控在用户的启动文件夹中创建指向非标准目录中脚本的.LNK文件。
• 标记cscript.exe使用传统NTFS短名称（例如FILENA~1.js）执行.js文件的情况。
• 对特定的进程树发出警报：cscript.exe → powershell.exe"

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文