マルウェアはZipファイル内でどのように配布されますか?
最近、暗号化ソフトウェアをダウンロードして実行するコードを含む.jsファイルを使用して、Zipファイルがメールで大規模に送信されているようです。
.jsは実際にはどのように実行されますか?ユーザーは、抽出後にJavaScriptファイル自体を実行する必要がありますか、それとも抽出時にJavaScriptファイルを実行させることができますか?これがどのようにして多くの感染を引き起こすのか、私はむしろ混乱しています。
覚えていますか "I love you" ?
人間の好奇心は、多くの場合、Zipのアーカイブを解除してからJSを実行します(ブラウザーのJSエンジンと同じ制限に従わないWindowsスクリプトホストを介して)
彼らが支払いを見逃さなかったことを確実にしたいと思って、すぐに彼らの携帯電話を止められるであろう十分な以上の人々があります。
メールがどのように機能するかを根本的に認識していないことも、ここでの大きな要因です。
メールはトムから来た!そして彼は私が見ておくべきだと言います。トムはいつもfacebookで面白い画像を共有しています、見てみましょう!
電子メール送信者のなりすまし(DKIM、SPF、S/MIME、PGPの問題ではないはずですが、それは別の話です)を完全に認識せず、これらのユーザーは送信者を信頼してファイルを開くだけです。
イノライト?しかし、それは致命的な知識の欠如を伴う人間の好奇心にすぎません。
JSファイルを抽出するためにZipファイルをクリックした同じユーザーが、JSファイルもクリックします。
Windows Script Host が起動してスクリプトが実行されます(JScript(JSおよびJSE)とVBScript(VBSおよびVBE)の両方が実行されます)。 WSHによって実行されるスクリプトは、ブラウザーでのようにサンドボックス化されていません。
この方法でJSを起動することは、EXEを起動することとほとんど同じです。
Windows Script Hostは、スクリプト機能を提供する自動化テクノロジです。さまざまなアクティブスクリプト言語エンジンを利用できるという点で、言語に依存しません。
デフォルトでは、Windowsは JScript (.jsおよび.jseファイル)およびVBScript(.vbsおよび.vbeファイル)。
.jsファイルはwscript.exe解釈し、スクリプトは何でも実行できます。たとえば、これはcalcをポップアップします。
var Shell = WScript.CreateObject("WScript.Shell");
Shell.Run("calc");
DLLハイジャックとサイドローディング)のように、悪意のあるファイルを(直接)開かずに自動実行できる方法または脆弱性があります。しかし、私の知る限り、新しい方法や脆弱性は、このような方法は、マルウェアの拡散に非常に効果的で、すぐに一般に知られるようになります。
IIRCファイルを簡単に自動実行させることはできません(方法はあるかもしれませんが、これらの攻撃のほとんどはそれらに依存していません)。
非常に知識のない人(PCユーザーの大多数)は通常ファイルをクリックしても問題はありません。jsファイルを使用すると、ほとんどのPCで(十分にロックダウンされていない限り)デフォルトのWindows JS REで実行されます。