Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Malware: Erkennung entgehen durch angeflanschtes ZIP

Windows-Nutzerinnen und -Nutzer, die bestimmte Tools zum Öffnen von ZIP-Dateien verwenden, stehen im Visier von Cyberkriminellen. Sie senden speziell präparierte ZIP-Dateien, die von Virenscannern nicht angemeckert werden, aber sich mit bestimmten Programmen öffnen lassen.

Anzeige

Im konkreten Fall haben die IT-Forscher von PerceptionPoint verkettete ZIP-Archive mit Schadsoftware darin entdeckt und beschreiben den Fall in einer Analyse. Ein Trojaner, der als Frachtpapier-Dateianhang getarnt war, versteckte sich in einem verketteten ZIP. Dieser Dateianhang an der E-Mail wird von vielen Anti-Malware-Programmen nicht entdeckt. Auf den Windows-Schädling in diesem manipulierten Archiv ließ sich etwa mit WinRAR jedoch zugreifen.

Die Erkennung durch Antivirensoftware lässt sich mit ZIP-Dateien umgehen, die einfach aneinander kopiert wurden: An das harmlose .zip-Archiv eins hängen die Täter einfach das zweite .zip, das den Schädling enthält. Unter Windows würde etwa der Befehl copy /b Archiv-*.zip VerkettetesArchiv.zip die Dateien zusammenführen, die etwa als Archiv-1.zip und Archiv-2.zip in dem Verzeichnis vorliegen.

Die Ursache des Problems liegt im Umgang unterschiedlicher Software mit solchen Dateien. Die IT-Sicherheitsforscher haben das verkettete ZIP mit mehreren Programmen getestet: 7zip zeigt die Inhalte der ersten Datei und eine Warnung, dass weitere Daten nach dem Ende des Archivs vorliegen. Das im Windows Explorer ZIP-Tool liefert unterschiedliche Ergebnisse. Mit der Dateiendung .zip kann es die Datei gar nicht öffnen, sofern das präparierte Archiv jedoch in .rar umbenannt wird, taucht der Inhalt des zweiten Archivs mit der Malware auf. WinRAR hingegen liest das zentrale Verzeichnis des zweiten .zip und zeigt dessen Inhalt an. Ein derartiger Angriff ist also nur auf Nutzerinnen und Nutzer mit WinRAR erfolgversprechend, oder mit geändertem Dateinamen auf Windows-Nutzer mit Windows-Bordmitteln. Die Phishing-Mail in dem analysierten Fall enthielt dieses verkettete ZIP-Archiv mit dem Dateinamen "SHIPPING_INV_PL_BL_pdf.rar". Auf die Malware war dadurch mit Windows-eigenen Tools und WinRAR zugreifbar.

Virenscanner nutzen meist vorgefertigte Bibliotheken zum Umgang mit Archiven – etwa als kostenlose Open-Source in die Quellen integriert. Der 7zip-Entpacker ist etwa dafür frei verfügbar, kann die manipulierten Archive aber nicht korrekt auseinandernehmen, die Untersuchung auf Malware ist dadurch nur eingeschränkt (auf das erste Archiv) möglich.

Der Versuch, die Erkennung von Schadsoftware etwa mit gezielt zerstörten oder leicht defekten Dateien zu umgehen, gehört zum Standard-Repertoire von Cyberkriminellen. Die diversen Parser funktionieren nicht identisch wie die, die im Betriebssystem eingesetzt werden, und liefern dadurch unterschiedliche Ergebnisse ab. Im Februar wurde etwa bekannt, dass die Erkennung von mittels rundll32.exe gestarteter Malware im Microsoft Defender nicht erkannt wurde, wenn der Aufruf um eine sogenannte Path Traversal erweitert wurde. Das hatte Microsoft zunächst korrigiert, jedoch ließ sich die Schwachstelle erneut nutzen, indem ein zusätzliches, ansonsten unnützes Komma in den Aufruf ergänzt wurde.

Anzeige

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Datenleck bei Online-Auskunftei: Hackerin kann bel...
Kostenloser Dekryptor für ShrinkLocker
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image