Hacker box

ハッカーは、ZIPファイルの連結テクニックを使ってWindowsマシンを標的にし、セキュリティ・ソリューションに検出されることなく、圧縮アーカイブ内に悪意のあるペイロードを配信している。

このテクニックは、ZIPパーサーとアーカイブ・マネージャーが連結されたZIPファイルを処理する際のさまざまな方法を悪用するものです。

この新しいトレンドは、Perception Point社によって発見されました。Perception Point社は、偽の発送通知でユーザーを誘い込むフィッシング攻撃を分析中に、トロイの木馬を隠蔽した連結ZIPアーカイブを発見しました。

研究者は、添付ファイルがRARアーカイブに偽装されており、マルウェアがAutoItスクリプト言語を活用して悪意のあるタスクを自動化していることを発見しました。

Phishing email hiding a trojan in a concatenated ZIP file
連結されたZIPファイルにトロイの木馬を隠したフィッシングメール
Source:パーセプション・ポイント

壊れた」ZIPにマルウェアを隠す

攻撃の最初の段階は準備で、脅威者は2つ以上の別々のZIPアーカイブを作成し、そのうちの1つに悪意のあるペイロードを隠し、残りは無害なコンテンツにします。

次に、1つのファイルのバイナリデータをもう1つのファイルに追加することで、別々のファイルを1つに連結し、その内容を1つのZIPアーカイブに統合します。

最終的な結果は1つのファイルのように見えるが、複数のZIP構造を含んでおり、それぞれが中心ディレクトリとエンドマーカーを持つ。

Internal structure of ZIP files
ZIPファイルの内部構造
Source:パーセプション・ポイント

ZIPアプリの欠陥の悪用

攻撃の次の段階は、ZIPパーサーがどのように連結アーカイブを処理するかに依存する。Perception Pointは7zip、WinRAR、Windows File Explorerをテストし、それぞれ異なる結果を得た:

  • 7zipは 最初のZIPアーカイブ(これは良性である可能性がある)しか読み込まず、追加データに関する警告を生成する可能性がある。
  • WinRARは 両方のZIP構造を読み込んで表示し、隠された悪意のあるペイロードを含むすべてのファイルを明らかにします。
  • Windowsファイルエクスプローラは、連結されたファイルを開くことに失敗したり、拡張子が.RARに変更された場合、2つ目のZIPアーカイブのみを表示することがあります。

アプリの動作に応じて、脅威当事者は、連結ファイルの1つ目または2つ目のZIPアーカイブにマルウェアを隠すなど、攻撃を微調整する可能性があります。

Perception Pointの研究者は、7Zipの攻撃で作成された悪意のあるアーカイブを試したところ、無害なPDFファイルだけが表示されることを確認しました。しかし、Windowsエクスプローラで開くと、悪意のある実行ファイルが表示されました。

7zip (top) and Windows File Explorer (bottom) opening the same file
同じファイルを開いた7zip(上)とWindowsファイルエクスプローラ(下)
ソースはこちら:パーセプション・ポイント

Perception Point社は、連結されたZIPファイルを防御するために、再帰的な解凍をサポートするセキュリティ・ソリューションを使用することを推奨しています。

一般に、ZIPやその他のアーカイブ・ファイル・タイプを添付したメールは疑ってかかるべきであり、重要な環境では関連するファイル拡張子をブロックするフィルタを導入すべきである。