Zombie ZIP
A támadók nemcsak kártevőket fejlesztenek, hanem a biztonsági rendszerek elemzési logikáját próbálják kijátszani. Az ilyen technikák különösen a phishing kampányokban és a malware-terjesztési láncokban jelentenek komoly kockázatot, mert a fertőzés már a fájlformátum manipulációjának szintjén elrejthető.
A Zombie ZIP kampányban a támadók szándékosan korruptnak tűnő ZIP fájlokat hoznak létre, hogy a bennük lévő kártevő láthatatlan maradjon az antivírus és EDR rendszerek számára. A módszer lényege, hogy a ZIP-fájlok fejlécének egy apró módosításával a biztonsági eszközök nem tudják megfelelően feldolgozni a fájlt, így nem vizsgálják át annak tartalmát.
A technika egyik demonstrációját Christopher Aziz biztonsági kutató mutatta be. A kísérlet során mindössze egyetlen byte módosítása a ZIP fejlécében elég volt ahhoz, hogy az antivírus motorok vakok legyenek a benne lévő malware-re. A tesztek szerint 66 biztonsági megoldásból 65 nem észlelte a kártevőt, mert a hibás tömörített fájlt egyszerűen nem tudták kibontani és elemezni.
A probléma oka az, hogy a legtöbb antivírus a ZIP-fájl metadata-információira támaszkodik, például a tömörítési módra vagy a fájlstruktúrára. Ha a támadó manipulálja ezeket az adatokat, a biztonsági motor hibásan értelmezi az csomagot, ezért nem bontja ki a fájlokat és nem vizsgálja meg a tényleges payloadot. Ennek eredményeként a malware rejtve marad, még akkor is, ha valójában jelen van az archívumban.
A módszert gyakran Zombie ZIP technikának nevezik. A kártevő ilyenkor gyakorlatilag halottnak tűnik a biztonsági eszközök számára, mert a fájl sérültnek látszik. Amikor azonban egy speciális loader vagy egy másik alkalmazás megpróbálja kibontani a tartalmat, a malware újra életre kel, és végrehajtódik a rendszerben.
A támadók gyakran phishing kampányokban vagy e-mail mellékletekben használják ezt a módszert. A felhasználó egy látszólag sérült vagy hibás ZIP-fájlt kap, majd megpróbálja megnyitni vagy helyreállítani azt. Sok alkalmazás ilyenkor automatikusan megpróbálják rekonstruálni a fájlt, ami lehetővé teszi a rejtett malware futtatását.
A kutatók szerint ez a technika azért különösen veszélyes, mert nem exploitot használ, hanem a fájlformátum feldolgozásának logikáját manipulálja. Emiatt a hagyományos aláírás- vagy sandbox-alapú védelem sokszor nem észleli a támadást, és a fájl legitimnek vagy egyszerűen sérültnek tűnik.
