Sikkerhedsforskere har opdaget en teknik, der gør det muligt for malware at skjule sig i korrupte ZIP-arkiver og undgå at blive opdaget af antivirusprogrammer. Opdagelsen fremhæver en svaghed i den måde, mange sikkerhedsværktøjer behandler komprimerede filer på. Ved at ændre arkivets metadata kan angribere narre scanningsmotorer til at springe det skadelige indhold i filen over.
Metoden er kendt som Zombie ZIP-malware. Den bygger på manipulation af ZIP-headeren, så sikkerhedsværktøjer fejlfortolker arkivets struktur. Den skadelige nyttelast forbliver intakt, men de fleste antivirusmotorer opdager den alligevel ikke under analysen.
Hvordan Zombie ZIP-teknikken fungerer
ZIP-arkiver indeholder metadata, der beskriver, hvordan filer i arkivet gemmes og komprimeres. Antivirusmotorer bruger ofte disse metadata til at afgøre, hvordan de skal analysere indholdet. Zombie ZIP-teknikken udnytter netop denne antagelse.
Angribere ændrer feltet for komprimeringsmetode i arkivets header. Den manipulerede fil angiver derefter, at indholdet er gemt uden komprimering. I virkeligheden er dataene stadig komprimeret med den standardiserede Deflate-algoritme. Når antivirusprogrammer stoler på headerinformationen, undgår de at pakke filen ud og scanner i stedet meningsløs komprimeret data.
Da det reelle indhold aldrig bliver analyseret, forbliver den indlejrede malware skjult. Arkivet kan også fremstå som beskadiget for mange udpakningsværktøjer, hvilket yderligere skjuler den skadelige nyttelast.
Opdagelsesraten falder markant
Test viste, at teknikken kan reducere opdagelsen af malware markant. I ét eksperiment blev et ondsindet ZIP-arkiv opdaget af de fleste antivirusmotorer før ændringen. Efter manipulation af ZIP-headeren faldt opdagelsesraten drastisk.
Kun én antivirusmotor opdagede det modificerede arkiv under testene. Selve nyttelasten forblev uændret. Forskellen skyldtes udelukkende en lille ændring i arkivets metadata.
Dette viser, hvor meget mange sikkerhedsværktøjer er afhængige af korrekte arkivheadere under scanning. Når disse manipuleres, kan systemerne undlade at analysere filens reelle indhold.
Hvorfor arkivfortolkning er en sikkerhedsrisiko
Zombie ZIP-teknikken fremhæver et bredere problem inden for cybersikkerhed. Filformater som ZIP er afhængige af komplekse fortolkningsregler, som forskellige programmer håndterer forskelligt. Sikkerhedsværktøjer skal fortolke disse strukturer korrekt for at kunne analysere komprimerede filer.
Angribere kan udnytte forskelle mellem fortolkningsmotorer til at skabe filer, der virker harmløse for scannere, men stadig indeholder funktionel malware. I dette tilfælde forvirrer det manipulerede arkiv sikkerhedssoftware, mens specialdesignede udpakningsværktøjer stadig kan bruge det.
Lignende svagheder i arkivfortolkning er tidligere blevet identificeret i sikkerhedsforskning. Forskellen her er, hvor enkel ændringen er. En enkelt ændring i metadata kan skjule malware for de fleste antivirusløsninger.
Konklusion
Zombie ZIP-malware viser, hvordan angribere kan omgå traditionelle opdagelsesmetoder ved at manipulere arkivmetadata. I stedet for at ændre selve den skadelige nyttelast skjuler teknikken filen bag vildledende information i ZIP-headeren.
Opdagelsen viser, at antivirusprogrammer bør kontrollere arkivstrukturer mere grundigt og ikke kun stole på metadata, når de scanner komprimerede filer. Efterhånden som angribere fortsætter med at eksperimentere med filformatmanipulation, får sikkerhedsværktøjer brug for stærkere metoder til parsing og validering for at forhindre malware i at slippe gennem skjulte containere.
0 svar til “Zombie ZIP-malware: Korrupte arkiver undgår antivirusdetektion”