Säkerhetsforskare har upptäckt en teknik som gör det möjligt för skadlig kod att gömma sig i korrupta ZIP-arkiv och undvika upptäckt av antivirusprogram. Upptäckten visar en svaghet i hur många säkerhetsverktyg hanterar komprimerade filer. Genom att ändra arkivets metadata kan angripare lura skanningsmotorer att hoppa över det skadliga innehållet i filen.
Metoden kallas Zombie ZIP-skadlig kod. Den bygger på att manipulera ZIP-huvudet så att säkerhetsverktyg tolkar arkivets struktur fel. Den skadliga nyttolasten förblir intakt, men de flesta antivirusmotorer misslyckas ändå med att upptäcka den under analysen.
Hur Zombie ZIP-tekniken fungerar
ZIP-arkiv innehåller metadata som beskriver hur filer i arkivet lagras och komprimeras. Antivirusmotorer använder ofta denna metadata för att avgöra hur de ska analysera innehållet. Zombie ZIP-tekniken utnyttjar just detta antagande.
Angripare ändrar fältet för komprimeringsmetod i arkivets header. Den manipulerade filen anger då att innehållet lagras utan komprimering. I verkligheten är datan fortfarande komprimerad med den vanliga Deflate-algoritmen. När antivirusprogram litar på headerinformationen avstår de från att packa upp filen och skannar i stället meningslös komprimerad data.
Eftersom det verkliga innehållet aldrig granskas förblir den inbäddade skadliga koden dold. Arkivet kan dessutom se korrupt ut för många uppackningsverktyg, vilket ytterligare döljer den skadliga nyttolasten.
Upptäcktsgraden sjunker kraftigt
Tester visade att tekniken kan minska upptäckten av skadlig kod dramatiskt. I ett experiment upptäckte de flesta antivirusmotorer ett skadligt ZIP-arkiv innan det modifierades. Efter att ZIP-headern ändrades sjönk upptäcktsgraden kraftigt.
Endast en antivirusmotor identifierade det modifierade arkivet under testet. Själva nyttolasten förblev oförändrad. Skillnaden berodde enbart på en liten ändring i arkivets metadata.
Detta visar hur starkt många säkerhetsverktyg förlitar sig på korrekta arkivheaders vid skanning. När dessa manipuleras kan systemet missa att analysera filens verkliga innehåll.
Varför arkivtolkning innebär en säkerhetsrisk
Zombie ZIP-tekniken belyser ett bredare problem inom cybersäkerhet. Filformat som ZIP bygger på komplexa tolkningsregler som olika program hanterar på olika sätt. Säkerhetsverktyg måste tolka dessa strukturer korrekt för att kunna analysera komprimerade filer.
Angripare kan utnyttja skillnader mellan olika tolkningsmotorer för att skapa filer som ser ofarliga ut för skannrar men ändå innehåller fungerande skadlig kod. I detta fall förvirrar det manipulerade arkivet säkerhetsprogram samtidigt som specialanpassade uppackningsverktyg fortfarande kan använda det.
Liknande svagheter i arkivtolkning har tidigare upptäckts inom säkerhetsforskning. Skillnaden i detta fall är hur enkel modifieringen är. En enda ändring i metadata kan dölja skadlig kod från de flesta antiviruslösningar.
Slutsats
Zombie ZIP-skadlig kod visar hur angripare kan kringgå traditionella upptäcktsmetoder genom att manipulera arkivmetadata. I stället för att ändra själva nyttolasten gömmer tekniken filen bakom vilseledande information i ZIP-headern.
Upptäckten visar att antivirusprogram måste kontrollera arkivstrukturer mer noggrant och inte enbart förlita sig på metadata vid analys av komprimerade filer. När angripare fortsätter att experimentera med filformat behöver säkerhetsverktyg starkare metoder för tolkning och validering för att förhindra att skadlig kod passerar genom förklädda filer.
0 svar till ”Zombie ZIP-skadlig kod: Korrupta arkiv undgår antivirusdetektion”