Tehdit aktörleri, zip dosyalarının birden fazla arşivi tek bir dosyada birleştirmesinin çeşitli yollarından, çeşitli sonuçlar sunan kimlik avı saldırılarında tespit edilmeyi önleme taktiği olarak yararlanıyor. Trojan kötü amaçlı yazılım türleriSmokeLoader dahil.
Perception Point’in yeni araştırması, saldırganların zip dosyalarının yapısal esnekliğini, birden fazla zip arşivinin tek bir dosyaya eklenmesini içeren bir yöntem olan birleştirme olarak bilinen bir teknikle kötüye kullandığını ortaya çıkardı. Bu yöntemde, birleştirilmiş dosya, aslında her biri farklı dosya girişi kümelerine işaret eden birden fazla merkezi dizin içeren bir arşiv olarak görünür.
Ancak Windows dahili mühendisi Arthur Vaiselbuh ve ürün pazarlama müdürü Peleg Cabra, “Birleştirilmiş ziplerin işlenmesindeki bu tutarsızlık, saldırganların arşivin bazı zip okuyucularının erişemediği veya erişemediği bölümlerinde kötü amaçlı yükleri gizleyerek algılama araçlarından kaçmasına olanak tanıyor” dedi. Algı Noktası, yeni bir blog yazısında şunu yazdı.
Birleştirmenin kötüye kullanılması, saldırganların kötü amaçlı yazılımları gizlemesine olanak tanır zip dosyaları Perception Point’e göre, 7.zip veya işletim sistemi yerel araçları da dahil olmak üzere, dosyaları derinlemesine analiz için ayrıştırmayı amaçlayan okuyucular bile bunu tespit edemeyebilir.
Vaiselbuh ve Cabra, gönderide şunları kaydetti: “Tehdit aktörleri, bu araçların birleştirilmiş arşivlerde gizlenen kötü amaçlı içeriği sıklıkla gözden kaçıracağını veya gözden kaçıracağını, bu sayede yüklerini tespit edilmeden teslim etmelerine ve arşivlerle çalışmak için belirli bir program kullanan kullanıcıları hedef almalarına olanak tanıyacağını biliyor.”
Zip Dosyalarından Nasıl Yararlanılır
Gönderide, zip dosyalarının nasıl kötüye kullanılabileceğini göstermek için üç popüler zip arşivi okuyucusunun (7.zip, Windows Dosya Gezgini ve WinRAR) birleştirilmiş zip dosyalarını işleme biçimlerinin farklı yolları anlatılıyor.
Örneğin 7.zip yalnızca ilk arşivin içeriğini görüntüleyecek ve ardından “arşiv bitiminden sonra bazı veriler var” uyarısı görüntüleyebilir. Ancak bu mesaj sıklıkla gözden kaçırılır ve dolayısıyla kötü amaçlı dosyalar tespit edilemeyebilirAraştırmacılar şunu belirtti.
Gönderiye göre Windows Dosya Gezgini, “dosyayı tamamen açamayabileceği veya .rar olarak yeniden adlandırılması durumunda yalnızca ‘kötü amaçlı’ ikinci arşivin içeriğini görüntüleyeceği” için farklı kötü amaçlı kullanım potansiyeli gösteriyor. Vaiselbuh ve Cabra, “Her iki durumda da bu tür dosyaların işlenmesi, güvenlik bağlamında kullanıldığında boşluklar bırakıyor” diye yazdı.
WinRAR, aslında ikinci merkezi dizini okuyup ikinci ve potansiyel olarak kötü amaçlı arşivin içeriğini görüntüleyerek onu “gizli veri yükünü ortaya çıkarmada benzersiz bir araç” haline getirerek farklı bir yaklaşım benimsiyor.
Sonuçta, Perception Point’e göre, bu okuyucular bazen kötü amaçlı etkinliği tespit etse de, her okuyucunun birleştirilmiş dosyaları işleme şeklinin farklı olması, istismara yer bırakıyor ve bu da farklı sonuçlara ve olası güvenlik sonuçlarına yol açıyor.
Kimlik avı saldırısı vektörü
Perception Point tarafından gözlemlenen birleştirmeyi kullanan kimlik avı saldırısı, bir nakliye şirketinden geldiği iddia edilen bir e-postayla başlıyor ve kullanıcıları tuzağa düşürmek için aciliyeti kullanıyor. E-posta “Yüksek Önem” olarak işaretlenmiştir ve bir gönderi tamamlanmadan önce incelenmesi gereken bir gönderi belgesi olduğu iddiasıyla gönderilen SHIPPING_INV_PL_BL_pdf.rar adlı bir ek içermektedir.
Ekteki dosya, .rar uzantısından dolayı bir rar arşivi gibi görünmektedir, ancak aslında birleştirilmiş bir rar arşividir. zip dosyasıGönderiye göre, yalnızca rar dosyalarıyla ilişkili güveni istismar etmekle kalmayıp, aynı zamanda ilk dosya değerlendirmeleri için dosya uzantılarına dayanabilecek temel algılamaları atlayarak kullanıcının kafasını karıştırmak için kasıtlı olarak gizlendi.
Dosya, bilinen Truva atı kötü amaçlı yazılım ailesinin bir çeşidini içeriyor Duman Yükleyici Bankacılık Truva Atları veya fidye yazılımları gibi diğer kötü amaçlı yazılım türlerini içerebilecek ek yüklerin indirilmesi ve yürütülmesi gibi kötü amaçlı görevleri otomatikleştirmek için tasarlanmıştır.
Ancak gönderiye göre, test edildiğinde zip dosyalarını ayrıştıran üç araçtan yalnızca ikisi dosyada potansiyel olarak kötü amaçlı bir arşiv bulunduğunu tespit etti. Ekin 7.zip kullanılarak açılması, yalnızca masum bir sevkıyat belgesi gibi görünen “x.pdf” başlıklı, zararsız görünümlü bir PDF’yi ortaya çıkarır. Öte yandan, hem Windows Dosya Gezgini hem de WinRAR, gizli tehlikeyi tamamen ortaya çıkarır.
Vaiselbuh ve Cabra, “Her iki araç da, kötü amaçlı yazılımı çalıştırmak ve yürütmek için tasarlanmış kötü amaçlı yürütülebilir SHIPPING_INV_PL_BL_pdf.exe dosyası da dahil olmak üzere ikinci arşivin içeriğini gösteriyor.” diye yazdı.
Kalıcı Bir Sorunun Azaltılması
Gönderiye göre Perception Point güvenlik araştırmacıları, okuyucu ile birleştirilmiş zip dosyaları arasında gözlemledikleri davranışı gidermek için 7.zip geliştiricileriyle iletişime geçti. Ancak yanıtları bunun herhangi bir güvenlik açığı olduğunu kabul etmedi.
Vaiselbuh ve Cabra, “Geliştirici bunun bir hata olmadığını ve kasıtlı bir işlevsellik olarak kabul edildiğini doğruladı; bu da bu davranışın değişmesinin muhtemel olmadığı ve saldırganların bundan yararlanmaya devam etmesi için kapıyı açık bıraktığı anlamına geliyor.”
Gözlemlenen saldırı vektörünün bu dosyaları kimlik avı saldırılarında kötüye kullanma riskinin devam ettiği göz önüne alındığında, kullanıcılardan, bilinmeyen bir varlıktan gönderilen ve kendilerinin derhal harekete geçmelerini gerektiren herhangi bir e-postaya, istenmeyen bir dosyayı açarak dikkatle yaklaşmaları tavsiye edilir.
Kuruluşların ayrıca, ne zaman gerçekleştiğini tespit eden gelişmiş güvenlik araçlarını kullanmaları teşvik edilmektedir. zip arşivi (veya hatalı biçimlendirilmiş bir rar arşivi) birleştirilir ve her katmanı yinelemeli olarak çıkarır. Vaiselbuh ve Cabra, bu tür bir analizin “ne kadar derine gömüldüğüne bakılmaksızın hiçbir gizli tehdidin gözden kaçırılmamasını, derinlemesine iç içe geçmiş veya gizlenmiş yüklerin daha fazla analiz için ortaya çıkarılmasını” sağlayabileceğini yazdı.