Вразливість “Зомбі-ZIP”: нова загроза для антивірусних систем
Навіть у сучасну епоху кібербезпеки існують напрочуд прості вразливості, які дозволяють шкідливому програмному забезпеченню ефективно оминати захист більшості антивірусних програм. Однією з таких нещодавно виявлених загроз є так звана “Зомбі-ZIP”.
Як працює вразливість?
У структурі ZIP-файлу заголовок містить інформацію про вміст та метод стиснення. Антивірусні системи, як правило, використовують ці метадані для попередньої обробки файлів перед скануванням. Однак, якщо створити ZIP-архів, який сповіщає про відсутність стиснення, але насправді містить стиснені дані, більшість антивірусів проігнорують цю невідповідність. Коли зловмисник змінює метод стиснення, антивірусне програмне забезпечення може не змогти коректно розпакувати файл. Стиснені дані, представлені як нестиснуті, сприймаються як випадковий набір байтів, що не відповідає жодним відомим сигнатурам шкідливого програмного забезпечення. Такі архіви стають технічно пошкодженими і не можуть бути розпаковані стандартними інструментами, як-от 7-Zip або WinRAR.
Обхід захисту та розповсюдження
Після успішного обходу антивірусного захисту, шкідливе програмне забезпечення може бути витягнуте за допомогою спеціального завантажувача. Цей інструмент ігнорує поле “Method” у заголовку ZIP-файлу та безпосередньо розпаковує вбудовані дані. Це дозволяє зловмисникам приховувати шкідливий вміст від антивірусних програм, зберігаючи при цьому можливість його програмного відновлення.
Масштаб загрози
Наразі, майже через тиждень після виявлення вразливості, 60 з 63 антивірусів (95%) не здатні її розпізнати. Дослідник, який виявив цю проблему, опублікував прототип на Python, для реалізації якого потрібно лише кілька рядків коду. Хоча це може здатися тривожним для звичайних користувачів, для великих корпорацій з тисячами клієнтів та конфіденційними даними ця вразливість становить справжній кошмар.
Рекомендації та подальші кроки
Антивіруси зазвичай не зосереджуються на перевірці скриптів під час завантаження, оскільки це призвело б до надмірної кількості помилкових спрацювань. Завантаження заархівованих даних є однією з найпоширеніших операцій у багатьох програмах, особливо в іграх. Наразі питанням вразливості “Зомбі-ZIP” займається CERT. Опубліковано повідомлення про VU#976247, а вразливості присвоєно ідентифікатор CVE-2004-0935. Доки оновлення безпеки не будуть розроблені та впроваджені, системним адміністраторам слід проявляти особливу пильність щодо ZIP-файлів, що передаються через мережу.
Вердикт ІТ-Блогу: Обов’язкове оновлення для всіх користувачів антивірусного програмного забезпечення та пильність системних адміністраторів при роботі з ZIP-архівами.
Дізнатися більше на: itc.ua