Хакерите се насочват към машини с Windows, използвайки техниката за конкатенация на ZIP файлове, за да доставят зловредни товари в компресирани архиви, без решенията за сигурност да ги откриват.
Техниката се възползва от различните методи, по които ZIP парсерите и архивните мениджъри обработват конкатенирани ZIP файлове.
Тази нова тенденция е забелязана от Perception Point, която открива сгънат ZIP архив, криещ троянски кон, докато анализира фишинг атака, която примамва потребителите с фалшиво известие за доставка.
Изследователите са установили, че прикаченият файл е бил маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt за автоматизиране на злонамерени задачи.
Първият етап на атаката е подготовката, при която изпълнителите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях, като оставят останалите с безобидно съдържание.
След това отделните файлове се конкатенират в един, като двоичните данни на единия файл се добавят към другия, като съдържанието им се слива в един комбиниран ZIP архив.
Въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория и крайни маркери.
Следващата фаза на атаката разчита на начина, по който ZIP парсерите обработват сгъстените архиви. Perception Point тества 7zip, WinRAR и Windows File Explorer, като получи различни резултати:
В зависимост от поведението на приложението хакерите могат да прецизират атаката си, като например да скрият зловредния софтуер в първия или втория ZIP архив от конкатенацията.
Изпробвайки зловредния архив от атаката на 7Zip, изследователите на Perception Point видяха, че се показва само безобиден PDF файл. Отварянето му с Windows Explorer обаче разкрива злонамерения изпълним файл.
За да се защитят от конкатенирани ZIP файлове, Perception Point предлага на потребителите и организациите да използват решения за сигурност, които поддържат рекурсивно разопаковане.
Като цяло към имейлите, прикачени към ZIP или други типове архивни файлове, трябва да се подхожда с подозрение, а в критичните среди трябва да се внедрят филтри, които да блокират свързаните файлови разширения.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.