Fișierele ZIP utilizate malițios pentru a evita detectarea
Sursă: https://www.bleepingcomputer.com
Persoanele rău intenționate vizează sistemele Windows folosind tehnica de concatenare a fișierelor ZIP pentru a transmite payload-uri malițioase, în arhive comprimate, fără ca soluțiile de securitate să le detecteze.
Tehnica exploatează diferitele metode prin care programele de analiză ZIP și administratorii de arhive tratează fișierele ZIP concatenate.
Această nouă evoluție a fost observată de Perception Point, care a descoperit o arhivă ZIP concatenată care ascundea un trojan în timp ce analiza un atac de phishing care atrăgea utilizatorii cu un anunț de expediere fals.
Specialiștii au descoperit că atașamentul era mascat ca o arhivă RAR, iar malware-ul folosea limbajul de scripting AutoIt pentru a automatiza payload-urile.
Prima etapă a atacului este pregătirea, în care atacatorii creează două sau mai multe arhive ZIP separate și ascund payload-ul malițios într-una dintre ele, lăsând restul cu un conținut inofensiv.
Apoi, fișierele separate sunt concatenate într-una singură prin adăugarea datelor binare ale unui fișier la celălalt, îmbinând conținutul acestora într-o singură arhivă ZIP combinată.
Deși rezultatul final apare ca un singur fișier, acesta conține mai multe structuri ZIP, fiecare cu propriul său director central și markeri de sfârșit.
Următoarea fază a atacului se bazează pe modul în care analizoarele ZIP tratează arhivele concatenate. Perception Point a testat 7zip, WinRAR și Windows File Explorer cu rezultate diferite:
- 7zip citește doar prima arhivă ZIP (care ar putea fi inofensivă) și poate genera un avertisment cu privire la datele suplimentare, pe care utilizatorii le pot pierde;
- WinRAR citește și afișează ambele structuri ZIP, dezvăluind toate fișierele, inclusiv payload-ul malițios ascuns;
- Este posibil ca Windows File Explorer să nu poată deschide fișierul concatenat sau, dacă este redenumit cu extensia .RAR, să afișeze doar a doua arhivă ZIP.
În funcție de comportamentul aplicației, atacatorii își pot ajusta atacul, cum ar fi ascunderea malware-ului în prima sau a doua arhivă ZIP din concatenare.
Încercând arhiva malițioasă din atacul asupra 7Zip, specialiștii Perception Point au văzut că era afișat doar un fișier PDF inofensiv. Deschiderea acestuia cu Windows Explorer, însă, a dezvăluit executabilul malițios.
Pentru a se proteja împotriva fișierelor ZIP concatenate, Perception Point sugerează utilizatorilor să utilizeze soluții de securitate care acceptă descompunerea recursivă.
În general, e-mailurile care atașează fișiere ZIP sau alte tipuri de fișiere arhivă ar trebui tratate cu precauție, iar filtrele ar trebui implementate în mediile critice pentru a bloca extensiile de fișiere aferente.
Sursă: https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/
