I file .zip sono utilizzati come vettore di attacco moderno?

Naviga le tue risposte
8

Recentemente ho consigliato a qualcuno di condividere (pubblicare) un mucchio di file semplicemente postando un file .zip da qualche parte, ma ho capito che questo potrebbe sembrare dannoso per un destinatario. Questo sospetto potrebbe essere guidato da Windows 95 o 98, in cui i file zip erano frequentemente associati a virus (e persino utilizzando Gmail nel 2005 o così mi ricordo di aver chiamato un file da .zip a .piz in modo da poter usare la posta elettronica per memorizzarlo .. .)

Come sono stati usati i file zip come vettore di attacco?

  • L'attacco più semplice sarebbe semplicemente comprimere un file eseguibile dannoso (Windows, Mac, Linux, qualunque cosa) e sperare che l'utente sia abbastanza sfortunato per eseguirlo, ad es. facendo doppio clic su di esso.
  • Alcuni file multimediali possono eseguire codice alla lettura in determinati sistemi operativi (I appreso solo su Superuser ora ).
  • Ma è anche abbastanza probabile che un decompressore presenti un bug di memoria che possa portare all'esecuzione di contenuti dannosi.

Quali di questi hanno storicamente (negli ultimi 20 anni circa) il motivo .zip è considerato pericoloso? Anche l'invio di un eseguibile malevolo compresso è un vettore di attacco più difficile di quanto non fosse, dal momento che sistemi come Mac OS rendono "fastidioso" all'utente l'esecuzione di un file scaricato arbitrario.

    
posta djechlin 11.11.2015 - 21:51
fonte

2 risposte

7

Ho ancora un sacco di virus e-mail che usano gli archivi Zip come payload. Inizialmente, gli autori di virus usavano gli archivi Zip per eludere il rilevamento da parte di un software antivirus che cerca semplicemente i file eseguibili. Gli autori di Antivirus si sono adattati e hanno iniziato a riconoscere gli archivi Zip e a scandirne il contenuto.

Alcuni autori di virus hanno provato alcune cose come l'annidamento degli archivi Zip negli archivi Zip, contando sull'utente umano di continuare a cliccare mentre l'antivirus non sarebbe stato così accurato. Alcuni hanno iniziato a usare bombe a chiusura lampo . Come al solito, gli sviluppatori di malware e antimalware sono impegnati in un gioco di nascondino senza fine.

Il vero killer è quando gli autori di virus hanno iniziato a inviare archivi Zip crittografati , con la password di decrittografia scritta come semplice testo (o un'immagine, o qualche altro meccanismo) nell'e-mail di accompagnamento. Questo si basa sull'utente umano che sta tentando di aprire Zip, digitando quindi doverosamente la password che è stata fornita nell'e-mail "per motivi di sicurezza". Alcune persone lo fanno davvero! Ciò impedisce efficacemente al software antivirus di eseguire la scansione del contenuto di Zip, quindi alcuni antivirus dichiarano semplicemente tutti i file Zip come maligni terminali e li sparano a vista.

    
risposta data 11.11.2015 - 22:08
fonte
0

Il Rapporto SecureList Q3 2015 Spam e Phishing dice che le cerniere sono ancora vive e vegete.

The text informed recipients that the attachment contained an e-ticket. In fact, the ZIP archive contained Trojan.Win32.Xtrat Trojan and the DDoS bot Nitol (the module used to organize DDoS attacks).

...

In July, fraudsters tried to trick users by sending fake notifications on behalf of hotels. The message thanked the recipients for staying in their hotel and asked them to view the attached bill. The attached archive actually contained Trojan-Downloader.Win32.Upatre.dhwi, which in turn downloaded and ran Trojan- Banker.Win32.Dyre (viewed as 98. ***. **. 39/cv17.rar) by clicking the links written in the body of the downloader.

...

The text in the email could easily be seen as a legitimate request from a client; however, the ZIP attachment contained Trojan-Downloader.JS.Agent.hhi that downloaded Backdoor.Win32.Androm.

    
risposta data 12.11.2015 - 18:52
fonte

Leggi altre domande sui tag

pubring.gpg e pubring.gpg ~ all'installazione: perché? Incremento del fattore di lavoro delle funzioni di hash nel tempo