Introducción
Tradicionalmente, los correos electrónicos son solo ASCII y están limitados a 1000 caracteres por línea. El estándar MIME define una forma de tener un correo estructurado (varias partes, incluidos los archivos adjuntos) y para transportar datos que no sean ASCII. Desafortunadamente, el estándar es innecesariamente complejo y flexible, hace que las definiciones contradictorias sean posibles y no define el manejo real de errores.
El resultado de esto es que las diferentes implementaciones interpretan casos extremos de MIME válido o MIME inválido a propósito de diferentes maneras. Esto incluye la interpretación en sistemas de análisis como filtros de correo, IDS / IPS, gateways de correo o antivirus, que a menudo interpretan los correos preparados específicamente de forma diferente al sistema del usuario final.
Esta publicación muestra lo fácil que es modificar un correo con un archivo adjunto malicioso en unos simples pasos, para que al final ningún antivirus de Virustotal pueda extraer correctamente el archivo adjunto del correo y detectar el malware. Después de toda esta modificación, aún es posible abrir el correo en Thunderbird y acceder a la carga maliciosa sin problemas.
Nada de esto es en realidad realmente nuevo. Publiqué problemas similares antes en 11/2014 y varias publicaciones en 07/2015 y también mostré cómo se puede utilizar para eludir el control adecuado de las firmas DKIM. Y también hay investigaciones mucho más antiguas como esta desde 2008.
Sin embargo, los sistemas de análisis todavía están rotos y los proveedores o bien no están al tanto de estos problemas o no hablan de estos problemas. Por lo tanto, podría ser útil volver a mostrar cuán trivial puede hacerse ese desvío de análisis, con la esperanza de que al menos algunos proveedores despierten y arreglen sus productos. A continuación, se muestra cómo ocultar un archivo adjunto malicioso del análisis adecuado en unos pocos pasos simples y fáciles de seguir.
Paso 1: MIME normal
Comenzamos con un correo que contiene el inocente virus de prueba EICAR dentro de un archivo ZIP. El correo consta de dos partes MIME, la primera es un texto y la segunda el archivo adjunto, codificado con Base64 para traducir el archivo adjunto binario en ASCII para el transporte. A partir de hoy (2018/07/05) 36 (de 59) productos en Virustotal son capaces de detectar la carga maliciosa. El resto probablemente no pueda o no esté configurado para tratar con archivos de correo electrónico o malware en archivos ZIP.
Más información: https://noxxi.de/research/mime-5-easy-steps-to-bypass-av.html
Saludos.