هکرها با استفاده از تکنیک ترکیب فایلهای ZIP به هدف قرار دادن ماشینهای ویندوزی پرداختهاند تا Payloads های مخرب را در آرشیوهای فشرده ارسال کنند، بدون آنکه راهحلهای امنیتی بتوانند آنها را شناسایی کنند.
این تکنیک از روشهای مختلفی که مفسرهای ZIP و مدیران آرشیو برای پردازش فایلهای ZIP ترکیبشده استفاده میکنند، بهرهبرداری میکند.
این روش جدید توسط Perception Point شناسایی شد، که یک آرشیو ZIP ترکیبشده را کشف کردند که یک تروجان را پنهان کرده بود در حین تجزیه و تحلیل یک حمله فیشینگ که کاربران را با یک اعلان جعلی حمل و نقل فریب میداد.
محققان دریافتند که پیوست بهصورت یک آرشیو RAR مخفی شده بود و بدافزار از زبان اسکریپتنویسی AutoIt برای خودکارسازی وظایف مخرب استفاده میکرد.
پنهان کردن بدافزار در فایلهای ZIP شکسته
در ابتدا، هکرها چندین فایل ZIP جداگانه ایجاد میکنند. یکی از این فایلها حاوی بدافزار یا Payload مخرب است و بقیه فایلها هیچ تهدیدی ندارند و محتوای بیضرری دارند. این تکنیک بهمنظور فریب سیستمهای امنیتی و کاربرانی است که ممکن است به فایلهای ZIP دیگر توجه کنند و بدافزار را در فایل مخرب شناسایی نکنند.
سپس، فایلهای جداگانه با افزودن دادههای باینری یک فایل به فایل دیگر به یک فایل واحد ترکیب میشوند و محتویات آنها در یک آرشیو ZIP ترکیبشده ادغام میشود.
اگرچه نتیجه نهایی بهعنوان یک فایل نمایش داده میشود، اما حاوی ساختارهای متعدد ZIP است که هرکدام دارای دایرکتوری مرکزی و نشانگرهای انتهایی خود هستند.
بهرهبرداری از ضعفهای اپلیکیشنهای ZIP
مرحله بعدی حمله به نحوه پردازش آرشیوهای ترکیبشده توسط مفسرهای ZIP وابسته است. Perception Point برنامههای ۷zip، WinRAR و Windows File Explorer را آزمایش کرد که نتایج متفاوتی داشتند:
۷ZIP : وقتی از برنامه ۷zip برای باز کردن یک فایل ZIP ترکیبشده استفاده میشود، این برنامه فقط اولین آرشیو ZIP را پردازش میکند و ممکن است هشداری در مورد وجود دادههای اضافی (که به فایلهای دیگری در آرشیو مربوط میشود) نمایش دهد. این هشدار ممکن است توسط کاربران نادیده گرفته شود، که میتواند منجر به از دست دادن اطلاعات مهم یا بدافزار شود.
WinRAR : برنامه WinRAR قادر است هر دو ساختار ZIP ترکیبشده را پردازش کند و تمام فایلهای موجود در آنها را نمایش دهد، حتی اگر یکی از فایلها حاوی بار مخرب (بدافزار) باشد که پنهان شده است. این بدافزار در هنگام مشاهده فایلها توسط WinRAR برای کاربر قابل مشاهده میشود.
Windows File Explorer : وقتی یک فایل ZIP ترکیبشده باز میشود، Windows File Explorer ممکن است نتواند آن را بهدرستی باز کند. علاوه بر این، اگر پسوند فایل به .RAR تغییر داده شود، این برنامه فقط آرشیو ZIP دوم را نمایش خواهد داد و ممکن است آرشیو اول یا دادههای مخفی شده در آن را نشان ندهد.
هکرها میتوانند حمله خود را بر اساس نحوه رفتار برنامههای مختلف با فایلهای ترکیبشده تنظیم کنند. به عنوان مثال، آنها ممکن است بدافزار را در اولین یا دومین آرشیو ZIP موجود در یک فایل ترکیبشده پنهان کنند تا بهطور مؤثرتری از ابزارهای امنیتی عبور کنند.
محققان پس از آزمایش آرشیو مخرب در برنامه ۷Zip، فقط یک فایل PDF بیضرر مشاهده کردند. اما وقتی همان فایل با Windows Explorer باز شد، فایل اجرایی مخرب که در آن پنهان شده بود، نمایان شد. این نشاندهنده تفاوت رفتار برنامههای مختلف در پردازش آرشیوهای ترکیبشده است.
برای مقابله با تهدیدات ناشی از فایلهای ZIP ترکیبشده (که ممکن است حاوی بدافزار باشند)، Perception Point توصیه میکند که از راهحلهای امنیتی استفاده شود که قادر به باز کردن فایلها به صورت بازگشتی (یعنی پردازش فایلهای ZIP درون فایلهای ZIP دیگر) باشند تا بتوانند تهدیدات پنهانشده در چنین فایلهایی را شناسایی و خنثی کنند.
توصیه میشود که ایمیلهایی که حاوی فایلهای فشرده مانند ZIP یا سایر انواع فایلهای آرشیو هستند، باید با دقت و احتیاط بررسی شوند، زیرا این فایلها ممکن است حاوی بدافزار باشند. همچنین، پیشنهاد میشود که در محیطهای حساس، فیلترهایی برای مسدود کردن پسوندهای فایلهای مرتبط با این نوع فایلها اعمال شود تا از تهدیدات احتمالی جلوگیری شود.