محققان امنیتی اخیراً هشدار دادهاند که مهاجمان سایبری با استفاده از تکنیک جدید فایلهای ZIP تو در تو، موفق به پنهانسازی بدافزارها از نرمافزارهای آنتی ویروس شدهاند. این تکنیک شامل ترکیب چند فایل ZIP در یکدیگر است که در آن بدافزار در یکی از آرشیوهای داخلی ذخیره میشود و شناسایی آن را برای نرمافزارهای امنیتی دشوار میسازد.
محققان شرکت Perception Point اعلام کردند که نرمافزارهای مختلفی مانند 7zip ،WinRAR و Windows File Explorer به دلیل روشهای متفاوت پردازش آرشیوهای ترکیبی، سطوح مختلفی از شناسایی را در برابر این حملات نشان میدهند.
روش جدید پنهانسازی بدافزارها در فایلهای فشرده
در فایلهای ZIP معمولی، یک دایرکتوری مرکزی وجود دارد که محل دقیق هر فایل داخل آرشیو و نقاط آغاز و پایان دادههای آن را مشخص میکند. اما در آرشیوهای ترکیبی، دو یا چند دایرکتوری مرکزی وجود دارد و نرمافزار آرشیو تنها یکی از دایرکتوریها را در هنگام پیشنمایش فایلها باز میکند. بهعنوان مثال، نرمافزار 7zip تنها دایرکتوری اول را نمایش میدهد، در حالی که WinRAR دایرکتوری دوم را نشان میدهد. Windows File Explorer نیز اساساً آرشیوهای ترکیبی ZIP را باز نمیکند، اما در صورت تغییر نام فایل به .RAR، دایرکتوری دوم را میخواند.
بنابراین، اگر فایل بدافزار در دایرکتوری دوم ذخیره شده باشد، کاربرانی که با استفاده از 7zip اقدام به باز کردن فایل میکنند، هیچ نشانهای از فایل مخرب مشاهده نخواهند کرد و تنها محتوای بخش اول باز و استخراج میشود. تنها هشدار قابل مشاهده پیامی است که در پنجره استخراج ظاهر میشود: « دادههای دیگری نیز وجود دارد». اما در WinRAR یا Windows File Explorer (در قالب آرشیو با پسوند .RAR)، فایل مخرب مشاهده و استخراج میشود.
به نظر میرسد که این رفتار نرمافزارهای مختلف برای پردازش آرشیوها بر اساس موارد استفاده محبوب آنها طراحی شده است. بیشتر کاربران آشنا با تکنولوژی، از جمله توسعهدهندگان و متخصصان امنیت سایبری، معمولاً از 7zip استفاده میکنند و هنگام باز کردن این نوع فایلها، به دلیل عدم مشاهده برنامه مخرب، امکان دارد حمله بدافزاری شناسایی نشده باقی بماند.
از سوی دیگر، برخی کاربران دیگر از نرمافزارهای Windows File Explorer یا WinRAR برای مشاهده فایلهای فشرده استفاده میکنند. از آنجا که این فایلها غالباً از طریق ایمیلهای فیشینگ ارسال میشوند، هدف اصلی مهاجمان سایبری، کاربران کمتر آشنا به فناوری هستند که با باز کردن فایل آلوده، به راحتی در معرض خطر قرار میگیرند و در ادامه فایل میتواند با اتصال به اینترنت، بدافزارهایی مانند باجافزار یا تروجانهای بانکی و دیگر انواع بدافزارهای پیشرفته را دانلود کند.
این روش جدید تنها یکی از چندین حملهای است که از ویژگیها و نقاط ضعف نرمافزارهای آرشیو استفاده میکند. بهعنوان مثال، پیشتر نوعی حمله به نام «بمب ZIP» توسط یک محقق امنیتی کشف شده بود که در آن یک فایل فشرده 46 مگابایتی به هنگام استخراج، به حجمی معادل 4.5 پتابایت میرسید و امکان دارد سیستم را با مشکل مواجه کند.
این حجم برابر با 4.5 میلیارد عکس با کیفیت بالا یا بیش از 366 سال ویدئوی HD (با نرخ 1.4 گیگابایت در ساعت) است. این مثال نشان میدهد که هرچند نرمافزارهای امنیتی نقش مهمی در مقابله با تهدیدات سایبری دارند، اما آگاهی کاربران نسبت به فایلهای مشکوک، همچنان نخستین خط دفاعی در برابر حملات است.
