MIME让邮件中的木马病毒逃过杀毒软件检测

  • A+
所属分类:网络安全文章

MIME让邮件中的木马病毒逃过杀毒软件检测

引言

传统上,邮件内容仅能使用ASCII字符,并且每行字符数量也有限制,即1000个。MIME标准定义了一种使邮件结构化(多个部分,包括附件)的方法,并且允许使用非ASCII数据。不幸的是,由于该标准太复杂,同时也太过灵活,使得某些定义可能会相互冲突,最要命的是,它也没有定义真正意义上的错误处理方法。

其结果是,面对某些打擦边球的有效MIME或故意使其无效的MIME,对于不同的实现来说,其解释也不尽相同。这也包括各种分析系统给出的解释,这些系统包括邮件过滤器、IDS/IPS、邮件网关或防病毒软件等,它们通常以不同方式来为最终用户系统解释那些精心构造的邮件。

在这篇文章中,我们将为读者演示怎样通过几个简单的步骤轻松修改带有恶意附件的邮件,从而绕过防病毒软件,使其无法从邮件中正确提取附件并检测恶意软件。经过这些修改后,人们仍然可以在Thunderbird中打开邮件,并顺利访问恶意载荷。

当然,这些技巧都不是什么新鲜玩意。早在2014年11月,我就公布过类似的问题;并且,在2015年7月,我还发表了几篇文章,展示了如何使用这些技巧来绕过DKIM签名的检查。从2008年起,也出现了许多这方面的文章。

但是,面对这些威胁,分析系统仍然没有丝毫长进,之所以出现这种情况,可能是供应商不知道这些问题,或者,它们已经知道了,但是毫无作为。因此,我决心再次发布这方面的技巧,希望至少唤醒部分供应商去修复自己的产品。在下文中,我将演示如何通过一些简单易懂的步骤来隐藏恶意附件,以绕过杀软的检测。

第1步:普通MIME

我们首先创建一个邮件,在附件的ZIP文件中放入EICAR测试病毒样本。该邮件由两个MIME部分组成,第一部分是一些文本,第二部分为附件,用Base64编码,以便将二进制附件转换为ASCII进行传输。截至今天(2018/07/05),Virustotal网站上只有36个(共59个)防病毒产品能够检测到恶意荷载;而其余部分可能无法或未配置为处理ZIP存档中的邮件文件或恶意软件。

  1. From: me@example.com
  2. To: you@example.com
  3. Subject: plain
  4. Content-type: multipart/mixed; boundary=foo
  5. --foo
  6. Content-type: text/plain
  7. Virus attached
  8. --foo
  9. Content-type: application/zip; name=whatever.zip
  10. Content-Transfer-Encoding: base64
  11. UEsDBBQAAgAIABFKjkk8z1FoRgAAAEQAAAAJAAAAZWljYXIuY29tizD1VwxQdXAMiDaJCYiKMDXR
  12. CIjTNHd21jSvVXH1dHYM0g0OcfRzcQxy0XX0C/EM8wwKDdYNcQ0O0XXz9HFVVPHQ9tACAFBLAQIU
  13. AxQAAgAIABFKjkk8z1FoRgAAAEQAAAAJAAAAAAAAAAAAAAC2gQAAAABlaWNhci5jb21QSwUGAAAA
  14. AAEAAQA3AAAAbQAAAAAA
  15. --foo--

我们可以将邮件的内容保存到扩展名为.eml的文件中,之后就可以使用Thunderbird打开该文件来查看邮件内容了。这时,会看到一个名为whatever.zip的ZIP文件,其中含有EICAR测试病毒。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: