Sicherheitsforscher haben eine Technik entdeckt, mit der sich Malware in beschädigten ZIP-Archiven verstecken und die Erkennung durch Antivirenprogramme umgehen lässt. Die Entdeckung zeigt eine Schwachstelle darin, wie viele Sicherheitswerkzeuge komprimierte Dateien verarbeiten. Durch das Verändern der Archiv-Metadaten können Angreifer Scan-Engines dazu bringen, den schädlichen Inhalt der Datei zu überspringen.
Die Methode ist als Zombie-ZIP-Malware bekannt. Sie basiert darauf, den ZIP-Header so zu manipulieren, dass Sicherheitsprogramme die Struktur des Archivs falsch interpretieren. Die schädliche Nutzlast bleibt unverändert, doch die meisten Antiviren-Engines erkennen sie während der Analyse nicht.
Wie die Zombie-ZIP-Technik funktioniert
ZIP-Archive enthalten Metadaten, die beschreiben, wie Dateien im Archiv gespeichert und komprimiert werden. Antivirenprogramme nutzen diese Informationen häufig, um zu entscheiden, wie sie den Inhalt analysieren sollen. Die Zombie-ZIP-Technik nutzt genau diese Annahme aus.
Angreifer verändern das Feld für die Komprimierungsmethode im Archiv-Header. Die manipulierte Datei behauptet dann, dass ihr Inhalt unkomprimiert gespeichert ist. In Wirklichkeit bleiben die Daten weiterhin mit dem üblichen Deflate-Algorithmus komprimiert. Wenn Antivirenprogramme der Header-Information vertrauen, entpacken sie die Datei nicht und scannen stattdessen bedeutungslose komprimierte Daten.
Da der tatsächliche Inhalt nie analysiert wird, bleibt die eingebettete Malware verborgen. Das Archiv kann zudem für viele Entpackungswerkzeuge beschädigt erscheinen, was die schädliche Nutzlast zusätzlich verschleiert.
Erkennungsrate sinkt drastisch
Tests zeigten, dass diese Technik die Erkennung von Malware erheblich reduzieren kann. In einem Experiment erkannten die meisten Antiviren-Engines ein schädliches ZIP-Archiv, bevor es verändert wurde. Nachdem der ZIP-Header manipuliert wurde, sank die Erkennungsrate deutlich.
Nur eine einzige Antiviren-Engine identifizierte das veränderte Archiv während der Tests. Die eigentliche Nutzlast blieb unverändert. Der Unterschied entstand ausschließlich durch eine kleine Änderung in den Metadaten des Archivs.
Dies zeigt, wie stark viele Sicherheitswerkzeuge bei der Analyse auf korrekte Archiv-Header angewiesen sind. Wenn diese manipuliert werden, können die Systeme den tatsächlichen Inhalt der Datei übersehen.
Warum Archivverarbeitung ein Sicherheitsrisiko darstellt
Die Zombie-ZIP-Technik verdeutlicht ein grundlegenderes Problem in der Cybersicherheit. Dateiformate wie ZIP basieren auf komplexen Parsing-Regeln, die von verschiedenen Anwendungen unterschiedlich interpretiert werden. Sicherheitswerkzeuge müssen diese Strukturen korrekt verarbeiten, um komprimierte Dateien zuverlässig zu analysieren.
Angreifer können Unterschiede zwischen Parsern ausnutzen, um Dateien zu erstellen, die für Scanner harmlos erscheinen, aber dennoch funktionsfähige Malware enthalten. In diesem Fall verwirrt das manipulierte Archiv die Sicherheitssoftware, während speziell entwickelte Entpackungswerkzeuge weiterhin darauf zugreifen können.
Ähnliche Schwächen bei der Archivverarbeitung wurden bereits früher in der Sicherheitsforschung entdeckt. Der Unterschied in diesem Fall liegt in der Einfachheit der Manipulation. Eine einzige Änderung in den Metadaten kann Malware vor den meisten Antivirenlösungen verbergen.
Fazit
Zombie-ZIP-Malware zeigt, wie Angreifer traditionelle Erkennungsmethoden umgehen können, indem sie Archiv-Metadaten manipulieren. Anstatt die schädliche Nutzlast selbst zu verändern, versteckt die Technik die Datei hinter irreführenden Informationen im ZIP-Header.
Die Entdeckung zeigt, dass Antivirenprogramme Archivstrukturen sorgfältiger prüfen müssen und sich beim Scannen komprimierter Dateien nicht ausschließlich auf Metadaten verlassen dürfen. Da Angreifer weiterhin mit Tricks rund um Dateiformate experimentieren, benötigen Sicherheitswerkzeuge stärkere Methoden zur Analyse und Validierung, um zu verhindern, dass Malware in getarnten Archiven unentdeckt bleibt.
0 Kommentare zu „Zombie-ZIP-Malware: Beschädigte Archive umgehen die Antivirus-Erkennung“