Исследователи безопасности обнаружили, что злоумышленники используют объединение ZIP-файлов, чтобы избежать обнаружения содержащегося в них вредоносного ПО. Эта техника предполагает объединение нескольких ZIP-файлов, при этом вредоносная программа хранится в одном из внутренних архивов, что затрудняет ее обнаружение антивирусными программами. Более того, исследователи из Perception Point (h/t BleepingComputer) отметили, что на частоту обнаружения этого типа атак влияют различные способы обработки конкатенированных архивов тремя наиболее популярными файловыми архиваторами - 7zip, WinRAR и Windows File Explorer.
Файлы ZIP обычно имеют один центральный каталог, который указывает программе архивации, где находится каждый отдельный файл в архиве и где начинаются и заканчиваются его данные. Однако конкатенированные архивы имеют два или более центральных каталога, при этом архиватор открывает только один центральный каталог, когда пользователь просматривает его содержимое. Например, 7zip показывает только первый центральный каталог, а WinRAR - второй.
С другой стороны, проводник Windows File Explorer категорически отказывается открывать конкатенированные ZIP-файлы (но открывает второй каталог, если файл переименован в .RAR).
Таким образом, если вредоносный файл хранится во втором каталоге, пользователи, распаковывающие его с помощью 7zip, вообще не увидят вредоносную программу - будет виден и распакован только доброкачественный первый каталог.
Единственным признаком того, что в архиве есть еще один файл, является предупреждение, появляющееся в окне распаковки: «Есть некоторые данные после конца данных полезной нагрузки». Но если вы используете WinRAR или Windows File Explorer (с конкатенированным архивом .RAR), вы сможете увидеть и распаковать файл вредоносной программы.
Заметим, что такое поведение, скорее всего, является намеренным, исходя из популярности использования некоторых архивных программ. Большинство технически подкованных пользователей, включая разработчиков и специалистов по кибербезопасности, предпочитают 7zip.
Поэтому, если они откроют подозрительный файл, который обычно доставляется по фишинговому письму, они не увидят вредоносную программу, что позволит вектору атаки остаться незамеченным. С другой стороны, некоторые открывают архив непосредственно в проводнике Windows File Explorer или в WinRAR. Учитывая, что файл доставляется через фишинговое письмо, пользователи, не разбирающиеся в технологиях, являются очевидной целью этой атаки. Когда они открывают зараженный файл, он может подключиться к Интернету и загрузить программы-вымогатели, банковские трояны и другие виды более сложного вредоносного ПО.
Это не первая вредоносная атака, использующая причуды и особенности архивного программного обеспечения. Например, ранее исследователь безопасности обнаружил атаку «Zip Bomb», в ходе которой один архив размером 46 МБ разрастался до огромной папки размером 4,5 ПБ, что могло привести к краху системы, открывшей его.
В контексте, такой объем памяти равен 4,5 миллиардам высококачественных фотографий по 1 МБ каждая или более 366 годам видео высокой четкости, если один час занимает 1,4 ГБ. Это показывает, что, хотя защитное программное обеспечение является важной частью кибербезопасности, знание того, какие файлы являются подозрительными, по-прежнему является первой линией обороны пользователя.
Оригинал
Уникальность
