ZIP-архив Шрёдингера: для антивируса внутри ничего нет, а для хакера там рабочий вирус
NewsMakerИзучаем феномен Zombie ZIP, обманывающего зрение программных сканеров.
Исследователи обратили внимание на новый приём маскировки вредоносного кода в ZIP-архивах. Метод получил название «Zombie ZIP» и позволяет прятать полезную нагрузку в архивах так, что большинство средств защиты принимает их содержимое за безопасные данные.
Технику разработал специалист по безопасности компании Bombadil Systems Крис Азиз. Приём основан на манипуляции заголовками ZIP-архива. Злоумышленник изменяет поле, которое указывает способ сжатия, заставляя анализаторы считать, что файл внутри архива хранится без сжатия. Антивирусы и системы обнаружения угроз доверяют такому значению и проверяют содержимое как обычные несжатые данные.
На деле внутри архива находится файл, сжатый алгоритмом Deflate — стандартным способом сжатия для ZIP. В результате защитные механизмы видят лишь бессмысленный набор байтов и не находят сигнатур вредоносного кода. По данным Криса Азиза, техника обходит 50 из 51 антивирусного движка, доступного на платформе VirusTotal .
При попытке распаковать такой архив стандартными утилитами, включая 7-Zip , WinRAR или unzip, появляется ошибка или сообщение о повреждённых данных. Причина в специально изменённом контрольном значении CRC, которое соответствует контрольной сумме уже распакованного файла. Из-за такого несоответствия популярные программы считают архив повреждённым.
Исследователи обратили внимание на новый приём маскировки вредоносного кода в ZIP-архивах. Метод получил название «Zombie ZIP» и позволяет прятать полезную нагрузку в архивах так, что большинство средств защиты принимает их содержимое за безопасные данные.
Технику разработал специалист по безопасности компании Bombadil Systems Крис Азиз. Приём основан на манипуляции заголовками ZIP-архива. Злоумышленник изменяет поле, которое указывает способ сжатия, заставляя анализаторы считать, что файл внутри архива хранится без сжатия. Антивирусы и системы обнаружения угроз доверяют такому значению и проверяют содержимое как обычные несжатые данные.
На деле внутри архива находится файл, сжатый алгоритмом Deflate — стандартным способом сжатия для ZIP. В результате защитные механизмы видят лишь бессмысленный набор байтов и не находят сигнатур вредоносного кода. По данным Криса Азиза, техника обходит 50 из 51 антивирусного движка, доступного на платформе VirusTotal .
При попытке распаковать такой архив стандартными утилитами, включая 7-Zip , WinRAR или unzip, появляется ошибка или сообщение о повреждённых данных. Причина в специально изменённом контрольном значении CRC, которое соответствует контрольной сумме уже распакованного файла. Из-за такого несоответствия популярные программы считают архив повреждённым.