回归最本质的信息安全

如何处理格式为ACE的恶意软件文件?

2017年1月16日发布

3,582
3
0

导语:那些经常与垃圾邮件活动打交道的人们都知道坏人们往往都是使用不同的文件格式感染终端用户或者公司。

那些经常与垃圾邮件活动打交道的人们都知道坏人们往往都是使用不同的文件格式感染终端用户或者公司。RAR、ZIP、PDF、具有宏/利用的不同办公文件以及由wscript执行的VBS/JS都是在这样的活动中会被经常使用的文件格式。

而我个人则对他们使用ACE格式文件进行的活动非常感兴趣,本文也正是出于此目的所完成的。如果你不太了解ACE文件格式,那么你可以通过这里的一些信息来进行详细的了解,而要想常看到底有多少恶意软件使用了这种格式来进行压缩,我们可以查询VirusTotal:

1484492436137598.png

正如你所看到的,在VirusTotal上有很多与这一文件格式相匹配的内容出现。

2.png

理论上7z是支持打开ACE文件的,但事实上在较新的版本中7z是无法做到的。

另外也存在其他软件支持ACE文件,但却并没有工作:

3.png

如果你尝试使用unace打开该文件,那么你会收到一个错误:

4.png

于是,我试着找到了一个unace包来打开ACE文件:

1484492592783065.png

这时你只需要解压缩“linunace25.tar.gz”,并直接使用ELF文件获取file.compressed即可:

6.png

所以,最后我们得到了PE文件,然后这就可以让我们上传文件到我们最喜欢的免费在线恶意软件分析系统https://www.hybrid-analysis.com

Hybrid Analysis将给出关于上传样本行为的重要指标:

1484492614417159.png

这一信息在事件响应方面非常有用,我们可以根据分析过程中发现的行为轻松的找到/搜索你网络中的类似样本。

1484492671183560.png

在分析过程中,该示例可以与我们沙箱的域或IP进行联系,从而可以提取与我们的沙盒在运行恶意文件时看到的相关的网络指标。

1484492691262149.png

同时由于我们的内存分析,我们能够提取到一些重要的内容,比如样品将要使用/搜索的域名或者IP等。

1484492724248321.png

感谢Emergin威胁规则的集成,这使得我们可以很容易地确定样品是Pony!

如果我们看一下示例中产生的HTTP请求,就会发现它试图从远程服务器下载其他PE文件。

1484492751492935.png

由于我们分析的这个远程文件不可用,所以我们需要搜索倒更多的信息,以了解Pony到底在试图下载什么。

在我们使用VirusTotal时,我们发现一些用户已经评论了该文件:

13.png

1484492777781037.png

如果你将ACE文件上传到某些电子邮件提供商,比如我使用的Gmail,它是无法验证该文件是否是恶意软件。 但使用其他压缩格式,Gmail就可以检测其中的文件是否是恶意软件。

事实上,我写这篇文章的想法是去了解一个不常见的格式文件,看他怎样感染用户并且如何处理他们。

本文为嘶吼编辑撰写,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/3042.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论

    天海 春香
    天海 春香 2017-01-16 18:45

    不明觉厉

    沙拉拉卡
    沙拉拉卡 2017-01-16 16:09

    陌生文件后缀,然后实际上文件内容一样这种事情中国网民已经用烂了(详见百度云盘)

    lapua
    lapua 2017-01-16 13:45

    我们仍未知道那天楼主所看见的后缀的用处。