Nova tehnika skrije zlonamerno kodo pred antivirusnimi sistemi

Raziskovalci kibernetske varnosti so razkrili novo metodo skrivanja zlonamerne kode v arhivih ZIP, ki so jo poimenovali Zombie ZIP. Tehnika omogoča, da zlonamerne datoteke zdrsnejo mimo številnih protivirusnih rešitev in sistemov za zaznavanje groženj.

Metoda temelji na manipulaciji metapodatkov v ZIP arhivu. V posebej pripravljenih datotekah napadalec spremeni podatke v jedru arhiva, tako da varnostni programi napačno interpretirajo način stiskanja datotek. Posledično protivirusni sistemi vsebino analizirajo, kot da bi bila razširjena, čeprav je dejansko še vedno stisnjena.

Ker varnostna orodja zaupajo informacijam v glavi arhiva, pregledajo podatke kot surove bajte. V resnici pa so ti podatki stisnjeni z algoritmom Deflate, zato antivirusni program vidi le neberljivo “šumasto” vsebino, v kateri ne zazna znanih vzorcev zlonamerne kode.

Tehniko je razvil varnostni raziskovalec Chris Aziz iz podjetja Bombadil Systems. Pri testiranju je ugotovil, da je takšno datoteko uspelo skriti pred 50 od 51 protivirusnih pogonov, ki so analizirali datoteke na platformi VirusTotal.

Ko uporabnik poskuša tak arhiv odpreti s standardnimi programi za razširjanje datotek, kot so 7-Zip, WinRAR ali unzip, lahko pride do napak ali poškodovanih podatkov. Vendar pa lahko posebej napisan program ali zlonamerni nalagalnik ignorira napačne informacije v glavi arhiva in pravilno razširi skrito vsebino. Zaradi potencialnega tveganja je varnostno podjetje CERT objavil opozorilo o tej tehniki, saj lahko nepravilno oblikovani arhivi predstavljajo resno varnostno tveganje v okoljih, kjer se datoteke samodejno analizirajo ali obdelujejo.

Čeprav tehnika sama po sebi ne omogoča neposrednega zagona zlonamerne kode, predstavlja učinkovit način za prikrito prenašanje škodljivih datotek mimo varnostnih sistemov. Ko napadalec nato uporabi poseben program za razširjanje arhiva, se lahko skrita vsebina normalno razpakira in zažene.

Zombie ZIP tako predstavlja nov primer naprednih metod za obhod varnostnih rešitev, ki izkoriščajo način, kako programska oprema interpretira strukturo arhivskih datotek.