GootLoader恶意软件使用拼接ZIP压缩包绕过检测

名为GootLoader的JavaScript恶意软件加载器被发现使用一种特殊的恶意压缩包格式来绕过安全检测，该格式通过拼接500到1000个压缩包文件构成。

Expel安全研究员Aaron Walton在报告中表示："攻击者创建了一个畸形的压缩包作为反分析技术。许多解压工具无法一致地解压它，但有一个关键的解压工具似乎能够稳定可靠地工作：Windows系统内置的默认工具。"

这种设计导致WinRAR或7-Zip等工具无法处理该压缩包，从而阻止了许多自动化工作流程分析文件内容。同时，它可以被Windows默认解压工具打开，确保受害者在遭受社会工程攻击时能够解压并运行JavaScript恶意软件。

GootLoader通常通过搜索引擎优化毒化策略或恶意广告进行传播，针对寻找法律模板的用户，将其引导至被入侵的WordPress网站，这些网站托管着恶意ZIP压缩包。与其他加载器一样，它被设计用来投放二次载荷，包括勒索软件。该恶意软件至少从2020年开始就在野外被检测到。

2024年10月下旬，传播该恶意软件的活动重新出现并采用了新技巧：利用自定义WOFF2字体进行字形替换来混淆文件名，并利用WordPress评论端点("/wp-comments-post.php")在用户点击网站上的"下载"按钮时传递ZIP载荷。

Expel的最新发现突显了投放方法的持续演进，威胁行为者采用更复杂的混淆机制来逃避检测：

将500-1000个压缩包拼接在一起制作恶意ZIP文件

截断压缩包的中央目录结束记录，使其缺少预期结构中的两个关键字节，触发解析错误

随机化非关键字段中的值，如磁盘号和磁盘数量，导致解压工具期望一系列不存在的ZIP压缩包序列

Walton解释说："拼接在一起的文件数量随机，以及特定字段中的随机值是一种叫做'哈希破坏'的防御规避技术。在实践中，每个从GootLoader基础设施下载ZIP文件的用户都会收到一个独特的ZIP文件，因此在其他环境中寻找该哈希是徒劳的。GootLoader开发者对ZIP压缩包和压缩包中包含的JScript文件都使用了哈希破坏。"

攻击链本质上涉及将ZIP压缩包作为XOR编码的数据块传递，该数据块在客户端（即受害者的浏览器上）被解码并反复追加到自身，直到达到设定大小，有效绕过了旨在检测ZIP文件传输的安全控制。

一旦受害者双击下载的ZIP压缩包，就会导致Windows默认解压工具在文件资源管理器中打开包含JavaScript载荷的ZIP文件夹。启动JavaScript文件会通过临时文件夹中的"wscript.exe"触发其执行，因为文件内容没有被显式解压。

随后，JavaScript恶意软件在启动文件夹中创建一个Windows快捷方式文件来建立持久性，最终使用cscript执行第二个JavaScript文件，生成PowerShell命令将感染带入下一阶段。在之前的GootLoader攻击中，PowerShell脚本被用来收集系统信息并接收来自远程服务器的命令。

为了应对GootLoader构成的威胁，建议组织考虑阻止"wscript.exe"和"cscript.exe"执行下载的内容（如果不需要），并使用组策略对象确保JavaScript文件默认在记事本中打开，而不是通过"wscript.exe"执行。

Q&A

Q1：GootLoader是什么类型的恶意软件？

A：GootLoader是一个JavaScript恶意软件加载器，主要功能是投放其他恶意载荷，包括勒索软件。它通过搜索引擎优化毒化和恶意广告进行传播，自2020年以来一直活跃。

Q2：GootLoader如何绕过安全检测工具？

A：GootLoader使用拼接500-1000个压缩包的方式创建畸形ZIP文件，这些文件无法被WinRAR、7-Zip等常见工具处理，但可以被Windows默认解压工具打开。同时采用哈希破坏技术，让每个下载的文件都是独特的。

Q3：如何防护GootLoader攻击？

A：建议组织阻止wscript.exe和cscript.exe执行下载内容，使用组策略让JavaScript文件默认在记事本中打开而非直接执行。避免点击可疑网站的下载链接，特别是通过搜索引擎找到的法律模板等资源。