Хакерите се насочват към машини с Windows, използвайки техниката за конкатенация на ZIP файлове, за да доставят зловредни товари в компресирани архиви, без решенията за сигурност да ги откриват.
Техниката се възползва от различните методи, по които ZIP парсерите и архивните мениджъри обработват конкатенирани ZIP файлове.
Тази нова тенденция е забелязана от Perception Point, която открива сгънат ZIP архив, криещ троянски кон, докато анализира фишинг атака, която примамва потребителите с фалшиво известие за доставка.
Изследователите са установили, че прикаченият файл е бил маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt за автоматизиране на злонамерени задачи.
Първият етап на атаката е подготовката, при която изпълнителите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях, като оставят останалите с безобидно съдържание.
След това отделните файлове се конкатенират в един, като двоичните данни на единия файл се добавят към другия, като съдържанието им се слива в един комбиниран ZIP архив.
Въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория и крайни маркери.
Използване на недостатъци на приложението ZIP
Следващата фаза на атаката разчита на начина, по който ZIP парсерите обработват сгъстените архиви. Perception Point тества 7zip, WinRAR и Windows File Explorer, като получи различни резултати:
- 7zip чете само първия ZIP архив (който може да е доброкачествен) и може да генерира предупреждение за допълнителни данни, което потребителите могат да пропуснат.
- WinRAR чете и показва и двете ZIP структури, като разкрива всички файлове, включително скрития зловреден товар.
- Възможно е Windows File Explorer да не успее да отвори сгъстения файл или, ако е преименуван с разширение .RAR, да покаже само втория ZIP архив.
В зависимост от поведението на приложението хакерите могат да прецизират атаката си, като например да скрият зловредния софтуер в първия или втория ZIP архив от конкатенацията.
Изпробвайки зловредния архив от атаката на 7Zip, изследователите на Perception Point видяха, че се показва само безобиден PDF файл. Отварянето му с Windows Explorer обаче разкрива злонамерения изпълним файл.
За да се защитят от конкатенирани ZIP файлове, Perception Point предлага на потребителите и организациите да използват решения за сигурност, които поддържат рекурсивно разопаковане.
Като цяло към имейлите, прикачени към ZIP или други типове архивни файлове, трябва да се подхожда с подозрение, а в критичните среди трябва да се внедрят филтри, които да блокират свързаните файлови разширения.
