Умышленно поврежденный архив: как Gootloader обходит защиту с помощью «неправильного» ZIP-файла

Gootloader уже несколько лет остается одним из ключевых инструментов для получения первоначального доступа в целевых атаках, часто связанных с программами-вымогателями. Его роль заключается в проникновении в систему, после чего доступ передается другим злоумышленникам. После перерыва активность Gootloader возобновилась в ноябре 2025 года. По данным исследователей, разработчик снова сотрудничает с угрозой, отслеживаемой как Vanilla Tempest, которая в настоящее время использует программу-вымогатель Rhysida.

Первая стадия заражения начинается с того, что пользователь загружает ZIP-архив, содержащий JScript-файл. При его выполнении запускается инфекция и создается процесс PowerShell, обеспечивающий устойчивость на зараженной системе. Однако сам архив представляет особый интерес для защитников. С 2021 по 2023 год разработчик использовал архив с уникальными характеристиками. В новой кампании эти характеристики изменились, но архив по-прежнему остается уникальным для этой угрозы.

Архив намеренно сделан с нарушенной структурой в качестве техники противостояния анализу. Многие специализированные инструменты для распаковки, такие как 7-Zip и WinRAR, не могут корректно извлечь его содержимое. При этом стандартный архиватор Windows, встроенный в операционную систему, справляется с этой задачей надежно. Таким образом, злоумышленники блокируют автоматизированные системы анализа файлов, но обеспечивают возможность открытия архива целевыми жертвами.

Основные аномалии ZIP-архива Gootloader включают несколько особенностей. Файл состоит из 500-1000 идентичных ZIP-архивов, склеенных вместе. Поскольку ZIP-архивы читаются с конца файла, финальная структура остается функциональной. Количество склеенных архивов и некоторые значения в их полях рандомизируются при каждой загрузке, что является техникой уклонения от обнаружения, известной как «смена хэша» (hashbusting). В результате каждый загруженный файл имеет уникальный хэш, что делает бесполезным его поиск по сигнатурам в других средах.

Кроме того, критическая структура архива «Конец центрального каталога» (End of Central Directory) усечена: в ней отсутствуют два обязательных байта. Это вызывает ошибки при попытке парсинга некоторыми инструментами. Также в не критичных для работы полях, таких как «Номер диска» и «Количество дисков», проставлены случайные значения, что заставляет некоторые распаковщики ожидать последовательность архивов, которая не существует.

Эти уловки вынуждают защитников создавать более динамичные методы идентификации подобных аномальных файлов на диске. Статическое обнаружение с помощью антивируса или EDR (системы обнаружения и реагирования на конечных точках) в данном случае маловероятно. Специалисты рекомендуют сосредоточиться на поведенческом анализе.

Так, после загрузки архива пользователь, как правило, открывает его двойным щелчком. Если используется архиватор Windows, содержимое отображается в проводнике. При запуске JScript-файла напрямую из архива он выполняется с помощью Windows Script Host (WScript) из временной папки. Это создает возможность для обнаружения: большинству пользователей не следует запускать JScript-файлы непосредственно из ZIP-архивов. Стоит отслеживать случаи, когда Wscript выполняет JS-файл из каталога AppData\Local\Temp.

Эксперты также рекомендуют пересмотреть политику безопасности в отношении JScript-файлов. По умолчанию в Windows двойной щелчок по такому файлу запускает его на выполнение через WScript. Это настройку можно изменить с помощью групповых политик (GPO), назначив программой по умолчанию, например, Блокнот. Это предотвратит случайный запуск вредоносного скрипта, но позволит опытным пользователям при необходимости выполнять легитимные скрипты.

Дальнейшее поведение вредоноса, как документировано в других отчетах, включает создание ярлыка (.LNK) в папке автозагрузки пользователя, который указывает на другой ярлык в случайном каталоге. Тот, в свою очередь, запускает второй JScript-файл. Этот скрипт выполняется с помощью CScript, часто используя короткое имя файла в формате NTFS (например, FILENA~1.js). Появление таких коротких имен в современных системах встречается редко, что дает еще одну точку для обнаружения. Также стоит настроить оповещения на цепочку процессов: cscript.exe → powershell.exe.

Исследователи предоставили YARA-правило для детектирования уникального формата ZIP-архивов Gootloader. Оно ищет определенные характеристики в заголовке локального файла в начале архива, а также более 100 вхождений одинаковых структур. Это правило помогает аналитикам идентифицировать использование данной тактики и начать расследование. Понимание деталей первой стадии заражения позволяет предотвратить проникновение Gootloader в самые ранние моменты атаки, лишая злоумышленников точки опоры в корпоративных сетях.

SHA256

• b05eb7a367b5b86f8527af7b14e97b311580a8ff73f27eaa1fb793abb902dc6e