CVE-2025-0411:因 7-Zip 的 Mark-of-the-Web (MotW) 绕过而导致的恶意软件感染 _

发布于 作者:

CVE-2025-0411:因 7-Zip 的 Mark-of-the-Web (MotW) 绕过而导致的恶意软件感染 _

Ots安全 2025-04-17 13:06

网址

https://www.trendmicro.com/ko_kr/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html

目标
– 7-Zip < 24.09

解释

2024 年 9 月,Trend ZDI 威胁搜寻团队发现零日漏洞 CVE-2025-0411 正在被野外利用。该漏洞是在 7-Zip 归档器中发现的,并被用于针对乌克兰组织的 SmokeLoader 恶意软件活动。据信,一个俄罗斯网络犯罪集团在俄乌冲突期间使用了这种策略进行网络间谍活动,利用被入侵的电子邮件账户和同形文字攻击来利用漏洞。

背景

当用户从不受信任的来源(例如 Internet)下载文件时,Windows操作系统会向文件添加一种称为Web 标记 (MotW)的源标识符。此标志警告 Windows 和用户该文件具有潜在危险,因此系统可以更加小心地处理该文件。例如,如果您尝试运行带有 MotW 标记的文件,Windows Defender SmartScreen 将检查该文件的信誉并向您发送警告,以帮助防止恶意软件感染。

下图Zone.Identifier显示了有关压缩文件的信息。此信息告诉 Windows 该文件是从互联网下载的。

此外,下图显示了由于 MotW 标签而出现的 Windows Defender SmartScreen 安全警告。此警告有助于保护用户免受潜在危险文件的侵害。

作为参考,文件属性显示 MotW 标签信息如下(蓝色框)。当您运行带有此标签的文件时,会出现如上所示的警告弹出窗口。

根本原因

然而,CVE-2025-0411 漏洞允许攻击者通过使用 7-Zip 对文件进行双重压缩来绕过此 MotW 保护。 Windows 仅将外部压缩文件标记为 MotW,而不将其内部的文件标记为 MotW。 通过利用这一点,攻击者可以通过将恶意可执行文件隐藏在内部压缩文件中并通过外部压缩文件进行分发来绕过 Windows 的 MotW 保护。如果用户使用 7-Zip 打开这个双压缩文件并运行其中的文件,则恶意软件可能会在没有任何 MotW 警告或 Windows Defender SmartScreen 扫描的情况下执行。

概念验证

此图展示了 CVE-2025-0411 的 PoC 演示,其中一个 ZIP 存档嵌套在另一个 ZIP 存档中。在这个 PoC 中,嵌套存档(poc.outer.zip\poc.inner.zip)内的文件poc.bat没有 MotW 保护。缺乏保护大大增加了恶意软件感染的风险,并阻止 Windows Defender SmartScreen 正确检查文件的信誉和签名。如果你解压文件并运行它,则不会出现警告弹出,并且它将按如下方式运行。

针对乌克兰团体的 SmokeLoader 恶意软件活动发现该零日漏洞被利用。此次活动似乎主要针对乌克兰政府机构和企业,开展网络间谍活动。攻击者通过被入侵的电子邮件帐户传播恶意附件,巧妙地使用一种称为“同形异义词攻击”的技术伪装文件扩展名。

Homoglyph欺骗是一种使用视觉上相似的字符来欺骗用户的攻击方法。攻击者将恶意内容伪装成合法网站或文件,并诱骗用户点击它们。

例如,攻击者可能会在域名中使用西里尔字母“Es”(С 或 с)而不是拉丁字母“c”。尽管这两个字符看起来几乎相同,但计算机却将它们识别为不同的字符。这使得他们能够创建看起来像合法 Microsoft 网站的恶意域名,例如“api-microsoft[.]com”,并诱骗用户输入他们的个人信息或凭据(用户名、密码)。

参考
– https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里