Įsilaužėliai atakuoja „Windows“ kompiuterius naudodami ZIP failų sugretinimo metodą, kad pateiktų kenkėjiškas programas suspaustuose archyvuose, o saugumo sprendimai jų neaptiktų.
Naudojant šią techniką išnaudojami skirtingi ZIP analizatorių ir archyvų tvarkyklių metodai, kuriais tvarkomi suglausti ZIP failai. Šią naują tendenciją pastebėjo bendrovė „Perception Point“, kai analizuodavo sukčiavimo ataką, kurios metu vartotojai buvo viliojami suklastotu pranešimu apie siuntos siuntimą, aptiko sutrauktą ZIP archyvą, kuriame buvo paslėptas trojanas.
Tyrėjai nustatė, kad priedas buvo užmaskuotas kaip RAR archyvas, o kenkėjiška programa naudojo „AutoIt“ scenarijų kalbą kenkėjiškoms užduotims automatizuoti.
Pirmasis atakos etapas – parengiamasis, kai grėsmių sukėlėjai sukuria du ar daugiau atskirų ZIP archyvų ir viename iš jų paslepia kenkėjišką programą, o likusiuose palieka nekenksmingą turinį.
Po to atskiri failai sujungiami į vieną, pridedant vieno failo dvejetainius duomenis prie kito, sujungiant jų turinį į vieną bendrą ZIP archyvą.
Nors galutinis rezultatas atrodo kaip vienas failas, jame yra kelios ZIP struktūros, kurių kiekviena turi savo centrinį katalogą ir pabaigos žymeklius.
Naudojimasis ZIP programos trūkumais
Kitas atakos etapas grindžiamas tuo, kaip ZIP analizatoriai tvarko sujungtus archyvus. „Perception Point“ išbandė „7zip“, „WinRAR“ ir „Windows File Explorer“ ir gavo skirtingus rezultatus.
- „7zip“ skaito tik pirmąjį ZIP archyvą, kuris gali būti nekenksmingas ir gali generuoti įspėjimą apie papildomus duomenis, kurių naudotojai gali nepastebėti.
- „WinRAR“ skaito ir rodo abi ZIP struktūras, atskleisdamas visus failus, įskaitant paslėptą kenkėjišką propgramą.
- „Windows File Explorer“ gali nepavykti atidaryti sujungto failo arba, jei jis pervadintas į .RAR plėtinį, gali būti rodomas tik antrasis ZIP archyvas.
Priklausomai nuo programos elgsenos, grėsmės sukėlėjai gali tiksliai sureguliuoti savo ataką, pavyzdžiui, paslėpti kenkėjišką programinę įrangą pirmajame arba antrajame sugretintame ZIP archyve.
Išbandydami kenkėjišką archyvą iš „7Zip“ atakos, tyrėjai pamatė, kad rodomas tik nekenksmingas PDF failas. Tačiau jį atidarius „Windows Explorer“, buvo aptikta kenkėjiška vykdomoji programa.
Norint apsisaugoti nuo sujungtų ZIP failų, siūlome naudotojams ir organizacijoms naudoti saugumo sprendimus, kurie palaiko rekursyvų išpakavimą. Apskritai el. laiškus, prie kurių pridedami ZIP ar kitų tipų archyvų failai, reikėtų vertinti įtariai, o kritinėse aplinkose reikėtų įdiegti filtrus, blokuojančius susijusius failų plėtinius.
