VirusTotal 新兴格式与投递技术报告
2023-7-30 21:33:12 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

过去 19 年中,VirusTotal 在 232 个国家或者地区每天接收超过 200 万个文件。独特的数据视角为 VirusTotal 积累了更大的优势。

VirusTotal 分析了 2021 年 1 月到 2023 年 6 月间的 30 亿样本文件。其中至少有 5% 被检测引擎判定为恶意,基于这些文件分析攻击活动中文件格式的演化与投递技术的变迁。

典型附件格式的传播趋势:

PDF 文件势头不减,传播未见减弱。Excel 文件因为 Emotet 的分发在 2022 年传播量较大,而 Word 文件则相对更为平稳。由于微软对宏代码执行默认策略的修改,OneNote 异军突起成为 2023 年最大的黑马。

JavaScript 的量在显著增加,相比之下 Excel、RTF、CAB、Word 与压缩格式文件都在相对下降。

OneNote

2022 年的 OneNote 样本更多的是在测试检出情况,2023 年才大量投入实际攻击中。攻击者也开始构建各种精细化的样本引诱用户进行点击,如下所示:

通过邮件附件分发的 OneNote 文件通常会使用不同过的文件扩展名,显得没有那么可疑。据统计,主要使用的是 GIF 与 PNG 进行分发。

目前为止,Qakbot、IceID、Emotet、AsyncRAT 与 Redline 都已经开始使用 OneNote 文件进行分发,甚至有部分 APT 组织也开始尝试。

在 OneNote 文件走入公众视野时,平均检测率约为 35%。后续平均检测率下降到 23%,攻击者可能使用了更好的规避技术。

ISO

ISO 文件的使用也有所增加,不仅被 Lockbit、darkbit、Quakbot、AsyncRAT、RemcosRAT 等攻击者使用,也被 MuddyWater、Dark Pink、Saaiwc 等攻击者所喜爱。

文件大小与检出率的关系如上所示。小于 15MB 的 ISO 文件中,72% 检出率都超过了 10%。以 10% 为线再过滤后,可以发现更小的集群:

  • 许多 Lokibot 与 AgentTesla 的 Downloader 作为邮件附件分发的 ISO 文件,大小在 1.15MB 到 1.2MB 间共计 18000 个。这些文件的检出率很高

  • 分发 ChromeLoader 的 7000 个文件,大小约为 125MB。这些文件的检出率较低,使用的文件名也较为规律:

  • 通过追加零字节将文件膨胀到 300MB 到 315MB 间,再压缩成 300KB 的 ZIP 压缩包,共计 1200 个。很多样本都伪装成合法的安装程序:

接近八成的 ISO 文件都是通过邮件分发的,其余两成在野其他方式分发。部署 ISO 文件的域名如下所示:

工作思考

OneNote 作为 Word、Excel 与 RTF 文件的替代,ISO 作为压缩文件的替代。攻击者会不断尝试新的攻击向量来扩大战果,VirusTotal 的观察视角恰好能覆盖这一点。但 VirusTotal 实际上只拿出了两种文件,并且其实也算得上是老调重弹了,还是让人觉得有些不过瘾的。

点击查看原文即可查看 VirusTotal 原报告


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzE5ODExNQ==&mid=2247486521&idx=1&sn=01d520122637c7126d540318262fe205&chksm=c1e9fbf5f69e72e3a09741a31934cbd4524db9a8bf893402c2edde9ad94ce87b7ca40dd17829&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh