BOM歸來

2013年，McAfee發現俄羅斯黑客使用修改Windows系統上主機文件的方法來傳播惡意軟體，除此之外，UTF-8 BOM (Byte Order Mark，位元組順序標記)位元組還可以幫助這些惡意攻擊者繞過檢測。

BOM（byte-order mark），即位元組順序標記，它是插入到以UTF-8、UTF16或UTF-32編碼Unicode文件開頭的特殊標記，用來識別Unicode文件的編碼類型。對於UTF-8來說，BOM並不是必須的，因為BOM用來標記多位元組編碼文件的編碼類型和位元組順序（big-endian或little-endian）。

因為這樣的攻擊活動依賴魚叉式釣魚攻擊來增加受害者點擊量，挑戰就是如何欺騙郵件掃描器並使用一個看似破壞的文件載入到受害者收件箱中。

當用戶用默認的文件管理器來打開ZIP文件時會出現下面的錯誤信息：

該錯誤信息表明文件被破壞了，但是研究人員在檢查文件內容時發現一些很奇怪的東西：

UTF-8 BOM的ZIP header前綴

除了有正常的PK簽名（0x504B）開頭的ZIP header外，研究人員還發現表示BOM的3個位元組0XEFBBBF。一些工具不會將該文件識別為ZIP格式的，而是識別為UTF-8文本文件，並且無法從中提取處惡意payload。

但是像WinRAR和7-Zip這樣的工具就會忽略該數據並正確的提取處內容。當用戶用這類工具提取文件時，就可以執行惡意payload並感染系統。

WinRAR成功提取的文件

惡意可執行文件會作為一個載入主payload的載入器，主payload會嵌入在resource部分。

Resource表表明含有加密數據的資源

resource section中保存的加密DLL

resource中保存的內容是用XOR演算法加密的，也在是來自巴西的惡意軟體樣本中非常常見的。解密的resource是一個載入和執行導出函數BICDAT的DLL。

用來載入提取的DLL和執行導出函數BICDAT的代碼

庫函數會下載第二階段payload，payload是一個密碼保護的zip文件並用相同的函數加密，作為嵌入的payload。在提取出所有的文件後，載入器會再次執行主可執行文件。

BICDAT函數執行的代碼

與Banking RAT惡意軟體相關的代碼

傳播的final payload是銀行RAT惡意軟體的變種（https://securelist.com/the-evolution-of-brazilian-malware/74325/#rat），目前主要在巴西和智利傳播。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！