Gootloader: вредоносное ПО использует ZIP-архивы из 1000 частей для обхода защиты
Новая тактика уклонения вредоносного ПО Gootloader: фрагментированные ZIP-архивы из 1000 частей усложняют обнаружение и анализ. Как защититься от угрозы.
Gootloader использует фрагментированные ZIP-архивы для скрытности
Специалисты по кибербезопасности обнаружили новую технику уклонения, применяемую вредоносным ПО Gootloader — первичным загрузчиком, который часто используется для получения первоначального доступа к корпоративным сетям. Теперь вредонос использует искаженные ZIP-архивы, разделенные на 1000 частей, чтобы обойти традиционные механизмы обнаружения.
Технические детали новой тактики уклонения
Gootloader, известный своим участием в атаках с SEO-отравлением (SEO poisoning), ранее распространял вредоносные payload’ы через сжатые архивы. Однако в последней версии применяется фрагментированная структура ZIP, где архив намеренно разделяется на множество мелких файлов. Этот подход эксплуатирует уязвимости в средствах безопасности, которые могут не справиться с восстановлением или сканированием полного архива, позволяя вредоносу оставаться незамеченным.
Основные особенности нового метода:
- Конкатенированные ZIP-архивы: Payload делится на более чем 1000 частей, каждая из которых выглядит как отдельный файл.
- Искаженная структура: Архивы специально создаются так, чтобы обходить стандартные проверки валидации.
- Скрытое выполнение: После сборки ZIP запускает payload Gootloader, который продолжает цепочку заражения.
Влияние на системы безопасности
Использование фрагментированных архивов создает серьезные проблемы для платформ защиты конечных точек (EPP) и песочниц (sandboxing), которые могут неэффективно анализировать разделенные файлы. Организации, полагающиеся на сигнатурный анализ или статический анализ, могут столкнуться со снижением эффективности защиты против этой версии.
Кроме того, данная техника усложняет работу групп реагирования на инциденты (IR), так как специалистам по безопасности может быть трудно выявить и восстановить полную цепочку атаки. Учитывая роль Gootloader в брокерстве первоначального доступа (IAB), эта эволюция может привести к росту случаев развертывания программ-вымогателей и утечек данных.
Рекомендации для специалистов по безопасности
Чтобы снизить риски, связанные с новой версией Gootloader, экспертам по кибербезопасности следует:
- Усилить сканирование архивов: Убедиться, что средства безопасности могут восстанавливать и анализировать фрагментированные архивы.
- Внедрить поведенческий анализ: Отслеживать необычную активность по конкатенации или сборке файлов.
- Обновлять угрозы: Включать индикаторы компрометации (IOC), связанные с последними тактиками Gootloader.
- Обучать сотрудников: Повышать осведомленность о рисках SEO-отравления и вредоносных загрузок.
Поскольку Gootloader продолжает развиваться, организациям необходимо адаптировать свои средства защиты для противодействия техникам уклонения на основе файлов и многоэтапным векторам атак.