为什么自解密档案仍然是恶意软件传播的首选方法
攻击者不需要 零天 当开发人员仍未对任意文件进行沙盒处理时,他们仍然可以解压它们。自解密存档仍然是最有效的恶意软件传播方法之一,因为它正是利用了这一点:开发人员对内部代码、构建工件和第三方工具的信任。
不比 standard ZIP 文件是一种自解密压缩包,它会以程序的形式执行解包过程。这个简单的技巧可以绕过大多数静态和基于签名的扫描程序,尤其是在伪装成合法安装程序或更新程序时。一旦执行,该压缩包就可以将木马、间谍软件或按键记录器直接解包到开发环境中的敏感部分。
为什么攻击者喜欢自解密档案?
- 他们默默地执行。
- 除了初始执行之外,它们不依赖于用户交互。
- 它们利用你所依赖的相同信任边界:内部脚本, CI/CD 步骤和开发工具。
您经常会看到嵌入在伪造 SDK、被入侵的开源软件包,甚至是声称是构建优化器或内部工具的恶意附件中的自解密档案。这些档案是目前最持久的恶意软件传播方式之一,因为它们融入了日常的开发人员工作流程。在许多情况下,它们会悄无声息地植入一个按键记录器,记录从凭证到敏感命令的所有内容,而不会触发警报。
从有效载荷到持久性:执行后真正发生了什么
一旦自解密档案运行起来,它不会只是释放一个二进制文件然后消失。它会利用错误配置的执行策略或用户权限潜入系统。一种常见的方法是将按键记录器或后门木马注入用户态进程或系统启动脚本。
例如,SDA 可能会解压远程访问木马 (RAT),该木马会将自身安装为服务或修改 的.bashrc, .zshrc或 PowerShell 配置文件。它还可能篡改计划任务或使用本机工具,例如 任务 or 发射 重启后重新启动。
开发人员应注意的常见攻击指标 (IoC):
- 意外的 CLI 执行 EXE 或 ELF 二进制文件 / tmp目录, %应用程序数据%,或类似。
- 执行未知工具后立即出现异常网络流量。
- 修改了构建或测试脚本,其中包含可疑的执行后步骤。
这些有效载荷的设计使其具有持久性,在开发环境中很少被传统的 EDR 标记出来,尤其是在伪装成开发依赖项的情况下。一旦按键记录器被激活,它就可以悄无声息地捕获从开发者凭证到生产机密的所有内容。
开发商面临的最大风险在哪里 CI/CD Pipelines
事情真正变得危险的地方是: CI/CD pipelines.
自解密档案在遇到以下情况时会变得特别危险: CI/CD 因为它们融入其中。它们可以伪装成:
- 预编译的 SDK 或 CLI 工具已签入存储库。
- 构建从未经验证的来源提取的依赖项。
- 通过 Slack 或电子邮件共享内部工具,然后 committed 或在脚本中使用。
风险热点
- 构建代理:如果在此处执行 SDA,它可以修改环境变量、凭据,甚至注入后续作业。
- 依赖缓存:SDA 中的恶意软件一旦到达您的缓存,就会对供应链造成风险。所有从受感染缓存中提取数据的作业都会继承该负载。
- 工件存储库:如果被 SDA 毒害,它们将作为恶意软件传递方法到达下游环境,包括暂存和生产环境。
CI/CD 快速且自动化。这意味着一个自解密档案可以在无人察觉的情况下悄悄流经多个环境。 更糟糕的是,如果有效载荷包含键盘记录器,则可能 leak secret在不同阶段使用,却从未被发现。
使用 DevSecOps 控件阻止静默执行
防止执行自解密档案并不复杂,但需要改变默认设置。
以开发人员为中心的控件有效:
- 禁用有风险的执行策略:锁定从临时或未知路径运行可执行文件的能力。这意味着在构建代理上设置适当的文件执行策略。
- 强制执行工件验证:对所有内部工具、SDK 和二进制文件进行加密校验或签名。在接触到 pipeline.
- 沙盒首次运行二进制文件:尤其适用于最近下载或添加的工具。为此,请使用容器化的运行器或隔离的虚拟机。
- 显示器 pipeline 行为:标记并警告异常执行行为,例如构建后的出站流量或未在 pipeline 配置。
阿强 DevSecOps 态势 假设每个工具都可能被攻陷。如果你的 CI/CD 无法检测到自解密档案的泄露,它会错过更糟糕的结果。 恶意软件的传递方法不断演变,但在构建环境中执行恶意二进制文件仍然是最大的风险。 将检测与预防结合起来。
超越检测:Xygeni 如何帮助追踪恶意软件的传播路径
事后检测击键记录器已经太晚了。这时,像 西吉尼 物。
Xygeni 提供实时洞察,了解您的 pipeline,无论是自解密档案,还是伪装成构建助手的恶意二进制文件。其优势在于:
- 绘制恶意软件传播方式的示意图 pipelines.
- 追踪恶意自解密档案的来源。
- 根据行为指标(而不仅仅是签名)阻止执行。
使用 Xygeni,您可以关联以下事件:“构建作业 #42 中引入了不寻常的工件”→“CLI 执行了意外的二进制文件”→“在端点上检测到击键记录器信标”。
当你试图确保 CI/CD 针对隐藏恶意软件传递方法的工作流程。
最后一道防线:在自解密档案爆炸之前阻止它们 Pipeline
自解密档案并非老套伎俩。它们仍然是针对开发人员和 pipelines.
如果您是编写或保护代码的开发人员,则需要:
- 将每个二进制文件视为不受信任,即使在您自己的二进制文件中 pipeline.
- 对所有第三方工件强制执行验证和沙盒。
- 显示器 pipeline 行为就像生产流量一样。
最重要的是,考虑使用 Xygeni 等超越扫描功能的工具,这些工具可以跟踪、追踪和阻止恶意自解密档案,防止它们将击键记录器放入您的 CI/CD 叠加。 向左移动,但扫描深度更深。永远不要低估小型存档如何通过静默恶意软件传播方式带来重大风险。
