Sikkerhetsforskere har oppdaget en teknikk som gjør det mulig for skadevare å skjule seg i korrupte ZIP-arkiver og unngå oppdagelse fra antivirusprogrammer. Oppdagelsen viser en svakhet i hvordan mange sikkerhetsverktøy behandler komprimerte filer. Ved å endre arkivets metadata kan angripere lure skanningsmotorer til å hoppe over det skadelige innholdet i filen.
Metoden er kjent som Zombie ZIP-skadevare. Den bygger på å manipulere ZIP-headeren slik at sikkerhetsverktøy tolker arkivets struktur feil. Den skadelige nyttelasten forblir intakt, men de fleste antivirusmotorer klarer likevel ikke å oppdage den under analyse.
Hvordan Zombie ZIP-teknikken fungerer
ZIP-arkiver inneholder metadata som beskriver hvordan filer i arkivet lagres og komprimeres. Antivirusmotorer bruker ofte denne metadataen for å avgjøre hvordan innholdet skal analyseres. Zombie ZIP-teknikken utnytter nettopp denne antakelsen.
Angripere endrer feltet for komprimeringsmetode i arkivets header. Den manipulerte filen hevder at innholdet er lagret uten komprimering. I virkeligheten er dataene fortsatt komprimert med den vanlige Deflate-algoritmen. Når antivirusprogrammer stoler på informasjonen i headeren, unngår de å pakke ut filen og skanner i stedet meningsløs komprimert data.
Siden det faktiske innholdet aldri blir analysert, forblir den innebygde skadevaren skjult. Arkivet kan også fremstå som korrupt for mange utpakkingsverktøy, noe som ytterligere skjuler den skadelige nyttelasten.
Oppdagelsesraten faller kraftig
Tester viste at teknikken kan redusere oppdagelsen av skadevare dramatisk. I ett eksperiment oppdaget de fleste antivirusmotorer et ondsinnet ZIP-arkiv før det ble endret. Etter at ZIP-headeren ble manipulert, falt oppdagelsesraten kraftig.
Kun én antivirusmotor oppdaget det modifiserte arkivet under testingen. Selve nyttelasten forble uendret. Forskjellen skyldtes kun en liten endring i arkivets metadata.
Dette viser hvor sterkt mange sikkerhetsverktøy er avhengige av korrekte arkivheadere under skanning. Når disse manipuleres, kan systemene mislykkes i å analysere det virkelige filinnholdet.
Hvorfor arkivtollkning er en sikkerhetsrisiko
Zombie ZIP-teknikken belyser et bredere problem innen cybersikkerhet. Filformater som ZIP er avhengige av komplekse tolkningsregler som ulike programmer håndterer forskjellig. Sikkerhetsverktøy må tolke disse strukturene korrekt for å kunne analysere komprimerte filer.
Angripere kan utnytte forskjeller mellom tolkningsmotorer for å lage filer som fremstår som ufarlige for skannere, men som fortsatt inneholder fungerende skadevare. I dette tilfellet forvirrer det manipulerte arkivet sikkerhetsprogramvare, samtidig som spesialtilpassede utpakkingsverktøy fortsatt kan bruke det.
Lignende svakheter i arkivtollkning har tidligere blitt identifisert i sikkerhetsforskning. Forskjellen i dette tilfellet er hvor enkel endringen er. En enkelt justering i metadata kan skjule skadevare fra de fleste antivirusløsninger.
Konklusjon
Zombie ZIP-skadevare viser hvordan angripere kan omgå tradisjonelle oppdagelsesmetoder ved å manipulere arkivmetadata. I stedet for å endre selve nyttelasten skjuler teknikken filen bak misvisende informasjon i ZIP-headeren.
Oppdagelsen viser at antivirusprogrammer må kontrollere arkivstrukturer mer grundig og ikke bare stole på metadata når de skanner komprimerte filer. Etter hvert som angripere fortsetter å eksperimentere med filformatmanipulasjon, trenger sikkerhetsverktøy sterkere metoder for parsing og validering for å hindre at skadevare slipper gjennom skjulte containere.
0 svar til “Zombie ZIP-skadevare: Korrupte arkiver unngår antivirusdeteksjon”