Bilgisayar korsanları, sıkıştırılmış arşivlerdeki kötü amaçlı yükleri güvenlik çözümleri tarafından tespit edilmeden dağıtmak için ZIP dosyası birleştirme tekniğini kullanarak Windows makinelerini hedef alıyor.
Bu teknik, ZIP ayrıştırıcılarının ve arşiv yöneticilerinin birleştirilmiş ZIP dosyalarını işlemek için kullandığı farklı yöntemlerden yararlanır.
Bu yeni trend, kullanıcıları sahte bir sevkıyat bildirimiyle kandıran bir kimlik avı saldırısını analiz ederken, bir truva atını gizleyen birleştirilmiş bir ZIP arşivini keşfeden Perception Point tarafından fark edildi.
Araştırmacılar, ekin bir RAR arşivi olarak gizlendiğini ve kötü amaçlı yazılımın, kötü amaçlı görevleri otomatikleştirmek için AutoIt komut dosyası dilinden yararlandığını buldu.
Kötü amaçlı yazılımları “bozuk” ZIP’lerde gizleme
Saldırının ilk aşaması, tehdit aktörlerinin iki veya daha fazla ayrı ZIP arşivi oluşturup bunlardan birinde kötü amaçlı yükü gizleyip geri kalanını zararsız içerikle bıraktığı hazırlıktır.
Daha sonra, ayrı dosyalar, bir dosyanın ikili verilerinin diğerine eklenmesi ve içeriklerinin tek bir birleşik ZIP arşivinde birleştirilmesiyle tek bir dosyada birleştirilir.
Nihai sonuç tek bir dosya olarak görünse de, her birinin kendi merkezi dizini ve bitiş işaretleyicileri olan birden fazla ZIP yapısı içerir.
ZIP uygulaması kusurlarından yararlanma
Saldırının bir sonraki aşaması, ZIP ayrıştırıcılarının birleştirilmiş arşivleri nasıl ele aldığına bağlı. Perception Point, 7zip, WinRAR ve Windows Dosya Gezgini’ni test ederek farklı sonuçlar elde etti:
- 7zip yalnızca ilk ZIP arşivini okur (bu yararlı olabilir) ve kullanıcıların gözden kaçırabileceği ek veriler hakkında bir uyarı oluşturabilir
- WinRAR her iki ZIP yapısını okur ve görüntüler, böylece gizli kötü amaçlı yük de dahil olmak üzere tüm dosyaları ortaya çıkarır.
- Windows Dosya Gezgini birleştirilmiş dosyayı açamayabilir veya .RAR uzantısıyla yeniden adlandırılmışsa yalnızca ikinci ZIP arşivini görüntüleyebilir.
Uygulamanın davranışına bağlı olarak tehdit aktörleri, kötü amaçlı yazılımı birleştirmenin birinci veya ikinci ZIP arşivinde gizlemek gibi saldırılarına ince ayar yapabilir.
7Zip saldırısına ait kötü amaçlı arşivi deneyen Perception Point araştırmacıları, yalnızca zararsız bir PDF dosyasının gösterildiğini gördü. Ancak Windows Gezgini ile açıldığında kötü amaçlı yürütülebilir dosya ortaya çıktı.
Perception Point, birleştirilmiş ZIP dosyalarına karşı savunma sağlamak için kullanıcıların ve kuruluşların yinelemeli paket açmayı destekleyen güvenlik çözümleri kullanmasını önermektedir.
Genel olarak ZIP veya diğer arşiv dosyası türlerini ekleyen e-postalara şüpheyle yaklaşılmalı ve kritik ortamlarda ilgili dosya uzantılarını engellemek için filtreler uygulanmalıdır.