【資安日報】1月20日，惡意軟體GootLoader透過ZIP串接手法迴避防毒軟體與EDR偵測

技術細節與攻擊手法

資安公司Resecurity揭露名為PDFSider的惡意軟體，駭客在一家名列財星前百大的企業使用DLL側載手法，透過名為cryptbase.dll的檔案，繞過防毒軟體與EDR系統的偵測。

近期保安研究人員發現，黑客在散播Gootloader惡意程式時，採用更隱蔽的新型手法，將多達一千個ZIP檔案串連成一個畸形壓縮檔，以繞過保安檢測。

這篇文章剖析了Gootloader惡意軟體家族近期使用的技術演變，重點在於其利用畸形的ZIP檔案來規避資安偵測。技術分析指出，Threat actor透過修改ZIP的結構，使防毒軟體與EDR系統無法正確識別其內容，進而達到隱蔽執行的目的。

資安研究人員指出，攻擊者持續透過關閉或清除指令紀錄、利用合法系統工具執行惡意命令等手法，企圖規避資安監控機制的偵測，顯示防禦迴避技術仍是當前資安攻防中的關鍵議題。