ايتنا - هکرها از الحاق فایل‌های ZIP برای دور زدن شناسایی استفاده می‌کنند

هکرها از الحاق فایل‌های ZIP برای دور زدن شناسایی استفاده می‌کنند

هکرها به تازگی از تکنیک الحاق فایل‌های زیپ (ZIP) برای دور زدن سیستم‌های امنیتی و هدف قرار دادن ماشین‌های ویندوز استفاده می‌کنند.

هکرها به تازگی از تکنیک الحاق فایل‌های زیپ (ZIP) برای دور زدن سیستم‌های امنیتی و هدف قرار دادن ماشین‌های ویندوز استفاده می‌کنند. این روش به هکرها این امکان را می‌دهد که بارهای مخرب را در آرشیوهای فشرده ارسال کنند بدون اینکه راه‌حل‌های امنیتی قادر به شناسایی آن‌ها باشند.

این تکنیک از روش‌های مختلفی کهتجزیه‌کننده‌های ZIP و مدیران آرشیو برای پردازش فایل‌های ZIP الحاق شده استفاده می‌کنند، بهره‌برداری می‌کند. این روند جدید توسط شرکت Perception Point شناسایی شده است که یک آرشیو ZIP الحاق شده را در حین تحلیل یک حمله فیشینگ که کاربران را با یک اطلاعیه حمل و نقل جعلی فریب می‌داد، کشف کرد.

محققان دریافتند که پیوست به عنوان یک آرشیو RAR پنهان شده و بدافزار از زبان اسکریپت‌نویسی AutoIt برای خودکارسازی وظایف مخرب استفاده کرده است.

مخفی کردن بدافزار در ZIPهای "شکسته"

اولین مرحله حمله، آماده‌سازی است؛ جایی که عاملان تهدید دو یا چند آرشیو ZIP جداگانه ایجاد کرده و بار مخرب را در یکی از آنها پنهان می‌کنند و بقیه را با محتوای بی‌ضرر پر می‌کنند. سپس، فایل‌های جداگانه به یک فایل واحد الحاق می‌شوند، به طوری که داده‌های باینری یک فایل به دیگری اضافه می‌شود و محتویات آنها در یک آرشیو ZIP ترکیب می‌شود.

اگرچه نتیجه نهایی به عنوان یک فایل ظاهر می‌شود، اما شامل چندین ساختار ZIP است که هر کدام دارای فهرست مرکزی و نشانگرهای پایان خود هستند.

بهره‌برداری از نقص‌های برنامه ZIP

مرحله بعدی حمله به نحوه پردازش آرشیوهای الحاقی توسط پارسرهای ZIP بستگی دارد. Perception Point آزمایش‌هایی بر روی 7zip، WinRAR و Windows File Explorer انجام داد و نتایج متفاوتی به دست آورد:

• 7zip فقط اولین آرشیو ZIP (که ممکن است بی‌ضرر باشد) را می‌خواند و ممکن است درباره داده‌های اضافی هشدار دهد که کاربران شاید آن را نادیده بگیرند.

• WinRAR هر دو ساختار ZIP را می‌خواند و نمایش می‌دهد و تمام فایل‌ها، از جمله محتوای مخرب پنهان شده را نیز نشان می‌دهد.

• Windows File Explorer ممکن است نتواند فایل الحاقی را باز کند یا اگر با پسوند .RAR تغییر نام داده شود، تنها آرشیو ZIP دوم را نمایش دهد.

• بسته به رفتار برنامه، هکرها ممکن است حمله خود را تنظیم کنند، مانند پنهان کردن بدافزار در اولین یا دومین آرشیو ZIP الحاقی.

برای افزایش امنیت در برابر فایل‌های ZIP الحاقی، Perception Point پیشنهاد می‌کند که کاربران و سازمان‌ها از راه‌حل‌های امنیتی استفاده کنند که از بسته‌بندی بازگشتی پشتیبانی می‌کنند.

به طور کلی، ایمیل‌هایی که حاوی فایل‌های ZIP یا سایر انواع فایل‌های آرشیوی را پیوست شده باشند را با احتیاط باز کنید و فیلترهایی باید در محیط‌های حساس برای مسدود کردن پسوندهای مربوطه پیاده‌سازی شوند.