Хакеры нашли способ маскировать вредоносные файлы внутри «живых» архивов
Изображение: recraft
Эксперты обнаружили метод, получивший название «Zombie ZIP», который позволяет прятать опасные компоненты внутри архивов так, что большинство систем проверки просто не видит угрозу. Подобные архивы выглядят обычными ZIP-файлами, но их внутренняя структура устроена так, что защитные программы анализируют данные неправильно и пропускают вредоносный код.
Суть технологии построена на хитрой работе с метаданными архивов. Внутри ZIP-файла хранится специальное поле, описывающее способ сжатия содержимого.
Именно эту часть структуры исследователь изменил так, чтобы инструменты проверки считали файл несжатым набором байтов. На практике содержимое остаётся упакованным, но система анализа воспринимает его как обычные данные и проводит проверку совсем другим способом.
Когда защитный движок видит в заголовке указание на хранение без сжатия, он начинает анализировать файл как последовательность обычных байтов. Реальные данные внутри архива остаются закодированными алгоритмом Deflate.
В результате антивирусу достаётся поток бессмысленного набора символов, где невозможно обнаружить привычные сигнатуры вредоносных программ.
Метод разработал исследователь из Bombadil Systems по имени Крис Азиз. Он сообщил, что подобный трюк оказался неожиданно эффективным. Во время проверки на платформе VirusTotal архивы с такой конструкцией прошли мимо большинства защитных механизмов. Из 51 движка только один сумел определить проблему.
Крис Азиз объяснил, что причина кроется в доверии программ к одному полю структуры ZIP-файла. Когда параметр Method установлен в значение STORED, сканер воспринимает содержимое как необработанные данные. В реальности внутри находится поток, сжатый алгоритмом Deflate. По словам исследователя, защитный механизм в такой ситуации анализирует не распакованный файл, а поток сжатых данных, который выглядит как случайный набор символов.
При этом вредоносная программа может использовать собственный загрузчик. Такой компонент игнорирует вводящий в заблуждение заголовок и обрабатывает архив корректно, применяя стандартную распаковку Deflate. После этого полезная нагрузка извлекается полностью и начинает работу уже на стороне заражённой системы.
