Търсене
Close this search box.

Хакерите се насочват към машини с Windows, използвайки техниката за конкатенация на ZIP файлове, за да доставят зловредни товари в компресирани архиви, без решенията за сигурност да ги откриват.

Техниката се възползва от различните методи, по които ZIP парсерите и архивните мениджъри обработват конкатенирани ZIP файлове.

Тази нова тенденция е забелязана от Perception Point, която открива сгънат ZIP архив, криещ троянски кон, докато анализира фишинг атака, която примамва потребителите с фалшиво известие за доставка.

Изследователите са установили, че прикаченият файл е бил маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt за автоматизиране на злонамерени задачи.

Първият етап на атаката е подготовката, при която изпълнителите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях, като оставят останалите с безобидно съдържание.

След това отделните файлове се конкатенират в един, като двоичните данни на единия файл се добавят към другия, като съдържанието им се слива в един комбиниран ZIP архив.

Въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория и крайни маркери.

Използване на недостатъци на приложението ZIP

Следващата фаза на атаката разчита на начина, по който ZIP парсерите обработват сгъстените архиви. Perception Point тества 7zip, WinRAR и Windows File Explorer, като получи различни резултати:

  • 7zip чете само първия ZIP архив (който може да е доброкачествен) и може да генерира предупреждение за допълнителни данни, което потребителите могат да пропуснат.
  • WinRAR чете и показва и двете ZIP структури, като разкрива всички файлове, включително скрития зловреден товар.
  • Възможно е Windows File Explorer да не успее да отвори сгъстения файл или, ако е преименуван с разширение .RAR, да покаже само втория ZIP архив. 

В зависимост от поведението на приложението хакерите могат да прецизират атаката си, като например да скрият зловредния софтуер в първия или втория ZIP архив от конкатенацията.

Изпробвайки зловредния архив от атаката на 7Zip, изследователите на Perception Point видяха, че се показва само безобиден PDF файл. Отварянето му с Windows Explorer обаче разкрива злонамерения изпълним файл.

За да се защитят от конкатенирани ZIP файлове, Perception Point предлага на потребителите и организациите да използват решения за сигурност, които поддържат рекурсивно разопаковане.

Като цяло към имейлите, прикачени към ZIP или други типове архивни файлове, трябва да се подхожда с подозрение, а в критичните среди трябва да се внедрят филтри, които да блокират свързаните файлови разширения.

 

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
10/12/2024

Adobe поправи над 160 уязви...

Актуализациите на Adobe от декември 2024...
09/12/2024

QR кодовете заобикалят изол...

Mandiant е идентифицирала нов метод за...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!