Hakerzy używają teraz konkatenacji plików ZIP, aby uniknąć wykrycia złośliwego oprogramowania

Fanatyk

w Cybersecurity 2024-11-10T20:59:06+01:00

Technika konkatenacji wykorzystuje różne metody parserów ZIP i menedżerów archiwów do obsługi połączonych plików ZIP. To pozwala oszukać antywirusy i przemycić złośliwy kod w archiwum wieloczęściowym ZIP.

7-Zip odczytuje tylko pierwsze archiwum ZIP (które może być nieszkodliwe) i może generować ostrzeżenie o dodatkowych danych, które użytkownicy mogą przeoczyć.
WinRAR odczytuje i wyświetla obie struktury ZIP, ujawniając wszystkie pliki, w tym ukryty złośliwy ładunek.
Eksplorator plików Windows może nie otworzyć połączonego pliku lub w przypadku zmiany nazwy z rozszerzeniem .RAR, może wyświetlić tylko drugie archiwum ZIP.

#bezpieczenstwo #cyberbezpieczenstwo #malware #informatyka #technologia

Bleepingcomputer

Komentarze (11)

AndrzejZupa

★

2024-11-10T21:49:41+01:00

Tak nie do końca rozumiem wektor ataku. Ale że niby no 7zip sprawdzi główne archiwum a potem zlewa inne „podzipy”?

Sam termin konkatenacji wprowadza w błąd.

fadeimageone 2024-11-10T21:50:44+01:00

@AndrzejZupa

fadeimageone 2024-11-10T21:58:46+01:00

@AndrzejZupa https://niebezpiecznik.pl/post/uwaga-na-e-maile-o-naruszeniu-praw-autorskich/

⚠️ Uwaga na e-maile o naruszeniu praw autorskich

Kliknij, aby przeczytać więcej

Niebezpiecznik.pl

AndrzejZupa

★

2024-11-10T22:27:01+01:00

@fadeimageone to chyba trochę inna metoda:

rm-rf

★

2024-11-11T09:37:40+01:00

@AndrzejZupa całego artykułu nie czytałem bo z samego opisu rozumiem o co chodzi, ale zip to o tyle zły format, że prócz problemów z enkrypcją ma jeszcze jeden zajebisty problem a mianowicie offset początku kontenera z archiwum jest podany w heder pliku, przez co przez manipulacje można zmienić offset kontenera archiwum a przed nim wrzucić exe. Co nam to daje? Plik z rozszerzeniem zip uruchomi się jak zip a z rozszerzeniem wykonywalnym odpalisz exe. Tu używają podobnej zagrywki.

Marchew 2024-11-10T22:09:03+01:00

Czyli trzeba kliknąć wiadomość.pdf.exe.

A czy czasem po kliknięciu nie pojawi się najpierw smartscreen a później dodatkowo UAC?

NiebieskiSzpadelNihilizmu 2024-11-11T00:32:46+01:00

@Marchew no chyba że ktoś to wyłączył i działa na adminie A zdziwiłbyś się ilu takich jest "bo co mnie to cholerstwo ciągle będzie wyskakiwać i pytać". Robiłem na serwisie, nie pytaj skąd wiem.

Marchew 2024-11-11T12:46:44+01:00

@NiebieskiSzpadelNihilizmu

A ja taki masochista i korzystam z konta standardowego

A zdziwiłbyś się ilu takich jest

A ja znam systemu na produkcji które są odpalone na trueadmin, na które loguje się codziennie sporo osób po rdp. Tak na true admin z prostym hasłem. Po co komu wiele kont użytkowników xD

NiebieskiSzpadelNihilizmu 2024-11-11T17:00:18+01:00

@Marchew jeszcze trza by licencje CALowe kupować xD

Marchew 2024-11-11T17:49:22+01:00

@NiebieskiSzpadelNihilizmu

CAL na 10 Pro? ( ͡° ͜ʖ ͡°)

NiebieskiSzpadelNihilizmu 2024-11-12T23:59:43+01:00

@Marchew a no chyba że tak

Zaloguj się aby komentować