الحاق فایل زیپ راهی برای نفوذ هکرها به ویندوز
به گزارش کارگروه امنیت سایبربان؛ هکرها با استفاده از تکنیک الحاق فایل زیپ (ZIP)، دستگاههای ویندوز را هدف قرار میدهند تا بارهای مخرب را در بایگانیهای فشرده بدون راهحلهای امنیتی نصب کنند.
این تکنیک از روشهای مختلف تجزیهکنندههای زیپ و مدیران بایگانی برای مدیریت فایلهای زیپ به هم پیوسته استفاده میکند.
«Perception Point»، پلتفرم اسرائیلی ممانعت از تهدید نسل بعدی، ادعا کرد که در حین تجزیه و تحلیل یک حمله فیشینگ، با جذب کاربران به کمک اعلامیه حمل و نقل جعلی، یک بایگانی زیپ پیوسته را کشف کرده که یک تروجان را پنهان میکرده است.
محققان معتقدند که پیوست به عنوان یک آرشیو «RAR» پنهان شده و بدافزار از زبان برنامهنویسی «AutoIt» برای خودکارسازی وظایف مخرب استفاده میکند.
مخفی کردن بدافزار در زیپهای شکسته
مرحله اول حمله، آمادهسازی است، جایی که عوامل تهدید 2 یا چند آرشیو زیپ مجزا ایجاد و بار مخرب را در یکی از آنها پنهان میکنند و بقیه را با محتوای بیضرر باقی میگذارند.
سپس، فایلهای جداگانه با افزودن دادههای باینری یک فایل به فایل دیگر و ادغام محتویات آنها در یک آرشیو زیپ ترکیبی، به یکی متصل میشوند.
اگرچه نتیجه نهایی به صورت یک فایل ظاهر میشود، اما شامل چندین ساختار زیپ است که هر کدام دایرکتوری مرکزی و نشانگرهای انتهایی خود را دارند.
بهرهبرداری از نقص برنامه زیپ
مرحله بعدی حمله به نحوه مدیریت تجزیهکنندههای زیپ با آرشیوهای پیوسته بستگی دارد. پلتفرم اسرائیلی «7zip»، «WinRAR» و «Windows File Explorer» را برای نتایج متفاوت آزمایش کرد :
• 7zip فقط اولین بایگانی زیپ را میخواند و ممکن است هشداری در مورد دادههای اضافی ایجاد کند و کاربران آن را از دست بدهند.
• WinRAR هر 2 ساختار زیپ را میخواند و نمایش میدهد و همه فایلها، از جمله بار مخرب مخفی، را آشکار میکند.
• Windows File Explorer ممکن است فایل الحاقی را باز نکند یا در صورت تغییر نام با پسوند RAR. ممکن است تنها آرشیو زیپ دوم را نمایش دهد.
بسته به رفتار برنامه، مانند مخفی کردن بدافزار در اولین یا دومین آرشیو زیپ الحاقی، عوامل تهدید ممکن است حمله خود را تنظیم کنند.
با آزمایش آرشیو مخرب حمله به 7Zip، محققان Perception Point عنوان کردند که فقط یک فایل پیدیاف بیضرر نشان داده شده است. با این حال، باز کردن آن با Windows Explorer، فایل اجرایی مخرب را آشکار کرد.
برای دفاع در برابر فایلهای زیپ به هم پیوسته، Perception Point پیشنهاد کرد که کاربران و سازمانها از راهحلهای امنیتی استفاده کنند که از بستهبندی بازگشتی پشتیبانی میکنند.
به طور کلی، ایمیلهایی که زیپ یا سایر انواع فایلهای بایگانی را ضمیمه میکنند باید با شک و تردید برخورد شود و فیلترها باید در محیطهای حیاتی برای مسدود کردن پسوند فایلهای مرتبط اجرا شوند.