




Новая техника Zombie ZIP позволяет вредоносному ПО обходить средства защиты
Новая технология, получившая название «Зомби-ZIP», помогает скрывать вредоносные программы в сжатых файлах. Они создаются специально для того, чтобы избежать обнаружения системами безопасности, такими как антивирусы и продукты обнаружения и реагирования на угрозы на конечных устройствах (EDR).
Попытки извлечения файлов с помощью стандартных утилит, таких как WinRAR или 7-Zip, приводят к ошибкам или повреждению данных. Технология работает за счёт манипулирования заголовками ZIP-архивов, чтобы обмануть механизмы анализа и заставить их рассматривать сжатые данные как несжатые.
Вместо того чтобы помечать архив как потенциально опасный, инструменты безопасности доверяют заголовку и сканируют файл, как если бы это была копия оригинала в ZIP-контейнере.
Техника «Зомби-ZIP» была разработана исследователем безопасности из Bombadil Systems Крисом Азизом, который обнаружил, что она работает против 50 из 51 антивирусных движков на VirusTotal.
«Антивирусные движки доверяют полю “Метод ZIP”. Когда Method=0 (STORED), они сканируют данные как необработанные несжатые байты. Но данные фактически сжаты с помощью алгоритма DEFLATE — поэтому сканер видит сжатый шум и не находит сигнатур», — объясняет исследователь.
Злоумышленник может создать загрузчик, который игнорирует заголовок и обрабатывает архив как есть: данные, сжатые с использованием стандартного алгоритма Deflate, который применяется в современных ZIP-файлах.
Исследователь опубликовал прототип (PoC) на GitHub, поделившись примерами архивов и дополнительными подробностями о работе метода.
Чтобы популярные инструменты извлечения (например, 7-Zip, unzip, WinRAR) выдавали ошибку, исследователь говорит, что значение CRC, гарантирующее целостность данных, должно быть установлено равным
Читать на habr.com