- Автор темы
- #1
Операторы вредоноса Gootloader усложнили его обнаружение: теперь малварь прячется в поврежденном ZIP-архиве, «склеенном» из тысячи других архивов. Использование такой тактики вызывает сбои в большинстве аналитических инструментов при попытке распаковки.
Как выяснили исследователи из компании Expel, вредоносный файл представляет собой архивированный JScript, упакованный в специально испорченный ZIP. Штатный архиватор Windows распаковывает его без проблем, а вот инструменты на базе 7-Zip и WinRAR не справляются с задачей. Злоумышленники добились такого эффекта, «склеивая» от 500 до 1000 ZIP-архивов, а также используя ряд других трюков, чтобы усложнить парсинг и анализ.
Gootloader — загрузчик, который активен с 2020 года и используется разными хак-группами, включая операторов шифровальщиков. В ноябре 2025 года после малварь возобновила активность после семимесячного перерыва, о чем предупреждали специалисты Huntress Labs и DFIR Report. Уже тогда в образцах были замечены «битые» ZIP-архивы, но модификации были минимальными, а при распаковке возникали несоответствия имен файлов.
По данным специалистов Expel, более свежие образцы Gootloader используют целый арсенал техник уклонения от обнаружения:
После запуска на хосте JScript активируется через Windows Script Host (WScript) из временной директории и прописывается в автозагрузку: в папке Startup появляются LNK-файлы, указывающие на второй JScript. Пейлоад срабатывает при первом запуске и при каждой перезагрузке, сначала запуская CScript с NTFS-именами, а потом PowerShell порождает PowerShell.
Специалисты Expel использовали те же структурные аномалии для обнаружения малвари и опубликовали YARA-правило, которое стабильно обнаруживает ZIP-архивы вредоноса. Сигнатура ищет специфическую комбинацию заголовков ZIP, сотни повторяющихся Local File Header и записей EOCD.
Также исследователи рекомендуют защитникам сменить приложение по умолчанию для открытия JScript-файлов с Windows Script Host на «Блокнот» — так скрипты не будут выполняться автоматически. Если JScript не нужен в инфраструктуре, специалисты советуют вообще заблокировать запуск wscript.exe и cscript.exe для загруженного контента.
Как выяснили исследователи из компании Expel, вредоносный файл представляет собой архивированный JScript, упакованный в специально испорченный ZIP. Штатный архиватор Windows распаковывает его без проблем, а вот инструменты на базе 7-Zip и WinRAR не справляются с задачей. Злоумышленники добились такого эффекта, «склеивая» от 500 до 1000 ZIP-архивов, а также используя ряд других трюков, чтобы усложнить парсинг и анализ.
Gootloader — загрузчик, который активен с 2020 года и используется разными хак-группами, включая операторов шифровальщиков. В ноябре 2025 года после малварь возобновила активность после семимесячного перерыва, о чем предупреждали специалисты Huntress Labs и DFIR Report. Уже тогда в образцах были замечены «битые» ZIP-архивы, но модификации были минимальными, а при распаковке возникали несоответствия имен файлов.
По данным специалистов Expel, более свежие образцы Gootloader используют целый арсенал техник уклонения от обнаружения:
- объединение до 1000 архивов ZIP — парсеры читают файл с конца, и эта особенность позволяет обмануть часть инструментов;
- усеченная структура End of Central Directory (EOCD), в которой не хватает двух обязательных байтов, из-за чего большинство инструментов не могут распарсить архив и завершают работу со сбоем;
- рандомизация полей с номерами дисков приводит к поиску несуществующих многотомных архивов;
- намеренные несоответствия между метаданными в Local File Header и Central Directory;
- генерацию уникальных ZIP и JScript для каждой загрузки, чтобы избежать сигнатурного обнаружения;
- доставку ZIP в виде XOR-закодированного блоба, который декодируется на стороне клиента и многократно дописывается, пока не достигнет нужного размера.
После запуска на хосте JScript активируется через Windows Script Host (WScript) из временной директории и прописывается в автозагрузку: в папке Startup появляются LNK-файлы, указывающие на второй JScript. Пейлоад срабатывает при первом запуске и при каждой перезагрузке, сначала запуская CScript с NTFS-именами, а потом PowerShell порождает PowerShell.
Специалисты Expel использовали те же структурные аномалии для обнаружения малвари и опубликовали YARA-правило, которое стабильно обнаруживает ZIP-архивы вредоноса. Сигнатура ищет специфическую комбинацию заголовков ZIP, сотни повторяющихся Local File Header и записей EOCD.
Также исследователи рекомендуют защитникам сменить приложение по умолчанию для открытия JScript-файлов с Windows Script Host на «Блокнот» — так скрипты не будут выполняться автоматически. Если JScript не нужен в инфраструктуре, специалисты советуют вообще заблокировать запуск wscript.exe и cscript.exe для загруженного контента.