Siber suçlular, özellikle Windows kullanıcılarını hedeflemek için ZIP dosyası birleştirme adı verilen karmaşık bir kaçırma stratejisi kullanıyor. Bu yöntem, birkaç ZIP dosyasını tek bir arşivde birleştirerek güvenlik yazılımının kötü amaçlı içeriği algılamasını zorlaştırır.
Sonuç olarak, şüphelenmeyen kullanıcılar güvenli, sıkıştırılmış verilere eriştiklerini düşünürken yanlışlıkla zararlı dosyalar indirebilirler.
Bu taktik, saldırganların geleneksel güvenlik önlemlerini atlamasına ve kötü amaçlı yazılımları fark edilmeden dağıtmasına olanak tanıyarak hem bireyler hem de kuruluşlar için önemli riskler oluşturur.
Tehdit aktörleri, farklı ZIP okuyucularının birleştirilmiş dosyaları işleme biçiminden yararlanarak, birçok standart güvenlik aracı tarafından tespit edilmekten kaçınan kötü amaçlı yükleri arşivlere yerleştirebilir.
ZIP Dosyası Birleştirme Tekniği
ZIP dosyasını birleştirme, birden fazla ZIP arşivinin tek bir dosyaya eklenmesini içerir. Bu birleştirilmiş dosya tek bir arşiv gibi görünse de aslında her biri farklı dosya kümelerine işaret eden birden fazla merkezi dizin içerir.
Perception Point’e göre bu tekniğin anahtarı, çeşitli ZIP okuyucularının birleştirilmiş yapıyı nasıl yorumladığıdır. Bazı okuyucular yalnızca bir arşivin içeriğini görüntüleyip diğerlerini göz ardı ederek gizli kötü amaçlı dosyaların fark edilmemesine izin verebilir.
Örneğin, biri zararsız içerik içeren, diğeri kötü amaçlı yazılım barındıran iki ZIP dosyası birleştirilirse, belirli araçlar yalnızca zararsız dosyaları gösterecektir. İşlemedeki bu tutarsızlık, saldırganların yüklerini belirli ZIP okuyucularına dayanan algılama araçlarından gizlemelerine olanak tanır.
7zip, WinRAR ve Windows Dosya Gezgini gibi popüler ZIP okuyucuları, birleştirilmiş ZIP dosyalarını farklı şekilde işler:
- 7zip: Birleştirilmiş bir ZIP dosyasını 7zip ile açarken yalnızca ilk arşivin içeriği görüntülenir. 7zip, arşivin bitiminden sonra ekstra veriler hakkında uyarı verebilirken, bu durum genellikle kullanıcılar tarafından gözden kaçırılıyor.
- WinRAR: 7zip’ten farklı olarak WinRAR, ikinci merkezi dizini okur ve gizli kötü amaçlı dosyalar da dahil olmak üzere tüm içeriği ortaya çıkarır. Bu, birleştirilmiş arşivlere gömülü tehditleri tespit etmede onu daha etkili hale getirir.
- Windows Dosya Gezgini: Windows’un yerleşik arşiv işleyicisi birleştirilmiş ZIP’lerle sorun yaşıyor. Bazı durumlarda dosya tamamen açılamayabilir veya arşiv içeriğinin yalnızca bir kısmı görüntülenebilir. Bu tutarsızlık, onu gizli tehditlerin tespitinde güvenilmez hale getirir.
Yakın zamanda gerçekleşen bir saldırı, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için bu tekniği nasıl kullandığını ortaya koyuyor. Raporda, bu vakada kurbanlara sevkıyat bildirimi gibi görünen bir kimlik avı e-postasının gönderildiği belirtiliyor.
E-posta, bir RAR dosyası gibi görünen ancak aslında birleştirilmiş bir ZIP arşivi olan “SHIPPING_INV_PL_BL_pdf.rar” adlı bir ek içeriyordu.
Dosya 7zip ile açıldığında yalnızca iyi huylu görünümlü bir PDF belgesi ortaya çıktı. Ancak WinRAR veya Windows Dosya Gezgini ile açıldığında, gizli kötü amaçlı çalıştırılabilir “SHIPPING_INV_PL_BL_pdf.exe” açığa çıktı.
Bu yürütülebilir dosyanın, ek yüklerin indirilmesi veya fidye yazılımının çalıştırılması gibi kötü amaçlı görevleri otomatikleştirmek için tasarlanmış Truva atı kötü amaçlı yazılımının bir çeşidi olduğu belirlendi.
Bu kaçınma tekniğinin başarısı, çeşitli araçların ZIP dosyalarını işleme biçimindeki farklılıklardan yararlanma yeteneğinde yatmaktadır. Pek çok güvenlik çözümü, arşivleri kötü amaçlı içeriğe karşı taramak için 7zip gibi yaygın ZIP işleyicilerine veya yerel işletim sistemi araçlarına güvenir.
Bu araçlar birleştirilmiş arşivleri tam olarak ayrıştıramayabileceğinden, gizli tehditleri tamamen gözden kaçırabilirler.
Bilgisayar korsanları bu yöntemi giderek daha fazla kullanıyor çünkü bu yöntem, belirli araçlara güvenen belirli kullanıcıları hedef alırken diğerlerinin tespitinden kaçmalarına olanak tanıyor. Örneğin, yerleşik araçlara veya 7zip’e bağımlı olan Windows kullanıcılarının bu tür saldırıların kurbanı olma riski daha yüksek olabilir
Try Malware and Phishing Analysis in ANY.RUN’s Linux Sandbox for Free