標籤:

如何處理格式為ACE的惡意軟體文件?

那些經常與垃圾郵件活動打交道的人們都知道壞人們往往都是使用不同的文件格式感染終端用戶或者公司。RAR、ZIP、PDF、具有宏/利用的不同辦公文件以及由wscript執行的VBS/JS都是在這樣的活動中會被經常使用的文件格式。

而我個人則對他們使用ACE格式文件進行的活動非常感興趣,本文也正是出於此目的所完成的。如果你不太了解ACE文件格式,那麼你可以通過這裡的一些信息來進行詳細的了解,而要想常看到底有多少惡意軟體使用了這種格式來進行壓縮,我們可以查詢VirusTotal:

正如你所看到的,在VirusTotal上有很多與這一文件格式相匹配的內容出現。

理論上7z是支持打開ACE文件的,但事實上在較新的版本中7z是無法做到的。

另外也存在其他軟體支持ACE文件,但卻並沒有工作:

如果你嘗試使用unace打開該文件,那麼你會收到一個錯誤:

於是,我試著找到了一個unace包來打開ACE文件:

這時你只需要解壓縮「linunace25.tar.gz」,並直接使用ELF文件獲取file.compressed即可:

所以,最後我們得到了PE文件,然後這就可以讓我們上傳文件到我們最喜歡的免費在線惡意軟體分析系統Free Automated Malware Analysis Service

Hybrid Analysis將給出關於上傳樣本行為的重要指標:

這一信息在事件響應方面非常有用,我們可以根據分析過程中發現的行為輕鬆的找到/搜索你網路中的類似樣本。

在分析過程中,該示例可以與我們沙箱的域或IP進行聯繫,從而可以提取與我們的沙盒在運行惡意文件時看到的相關的網路指標。

同時由於我們的內存分析,我們能夠提取到一些重要的內容,比如樣品將要使用/搜索的域名或者IP等。

感謝Emergin威脅規則的集成,這使得我們可以很容易地確定樣品是Pony!

如果我們看一下示例中產生的HTTP請求,就會發現它試圖從遠程伺服器下載其他PE文件。

由於我們分析的這個遠程文件不可用,所以我們需要搜索倒更多的信息,以了解Pony到底在試圖下載什麼。

在我們使用VirusTotal時,我們發現一些用戶已經評論了該文件:

如果你將ACE文件上傳到某些電子郵件提供商,比如我使用的Gmail,它是無法驗證該文件是否是惡意軟體。 但使用其他壓縮格式,Gmail就可以檢測其中的文件是否是惡意軟體。

事實上,我寫這篇文章的想法是去了解一個不常見的格式文件,看他怎樣感染用戶並且如何處理他們。

註:本文為嘶吼編輯撰寫,如若轉載,請註明來源於嘶吼

推薦閱讀:

厚客戶端滲透測試實戰(三)
範例二:報價帶判讀術——針對大牛股的範例
Active Directory攻防實驗室環境搭建教程(一)
mysql-unsha1:在未知密碼情況下,登錄任意MYSQL資料庫

TAG:技术分析 |