¿Se usan los archivos .zip como un moderno vector de ataque?

Navega tus respuestas
8

Hace poco recomendé a alguien que compartiera (publicara) un montón de archivos simplemente publicando un .zip en algún lugar, pero me di cuenta de que esto puede parecer malicioso para un destinatario. Esta sospecha puede deberse a la era de Windows 95 o 98, donde los archivos zip se asociaron frecuentemente con virus (e incluso usando Gmail en 2005 o algo así, recuerdo haber nombrado un archivo de .zip a .piz para poder usar el correo electrónico para almacenarlo ... .)

¿Cómo se han utilizado los archivos zip como un vector de ataque?

  • El ataque más simple sería simplemente comprimir un archivo ejecutable malintencionado (Windows, Mac, Linux, lo que sea) y esperar que el usuario tenga la mala suerte de ejecutarlo, por ejemplo. haciendo doble clic en él.
  • Algunos archivos de medios pueden ejecutar código al leerlo en ciertos sistemas operativos (yo aprendido en el Superusuario solo ahora ).
  • Pero también es probable que un descompresor tenga un error de memoria que puede provocar la ejecución de contenido malicioso.

¿Cuál de estos históricamente ha sido (en los últimos 20 años o más) la razón por la que .zip se considera peligroso? Incluso el envío de un ejecutable malicioso comprimido es un vector de ataque más difícil de lo que solía ser, ya que los sistemas operativos como Mac OS hacen que sea "molesto" que el usuario ejecute un archivo descargado arbitrariamente.

    
pregunta djechlin 11.11.2015 - 21:51
fuente

2 respuestas

7

Todavía recibo muchos virus de correo electrónico que usan archivos Zip como carga útil. Inicialmente, los autores de virus usarían los archivos Zip para evadir la detección de un software antivirus que simplemente busca archivos ejecutables. Los autores de antivirus se adaptaron y comenzaron a reconocer los archivos Zip y escanear sus contenidos.

Algunos autores de virus intentaron algunas cosas, como anidar archivos Zip en archivos Zip, contando con que el usuario humano siga haciendo clic mientras el antivirus no sea tan completo. Algunos han empezado a utilizar bombas Zip . Como es habitual, los desarrolladores de malware y antimalware participan en un juego de escondite interminable.

El verdadero asesino es cuando los autores de virus comenzaron a enviar cifrados archivos Zip, con la contraseña de descifrado escrita como texto simple (o una imagen, o algún otro mecanismo) en el correo electrónico adjunto. Esto se basa en que el usuario humano intente abrir el archivo Zip y luego ingrese la contraseña que se proporcionó en el correo electrónico "por razones de seguridad". Algunas personas realmente hacen eso! Esto evita efectivamente que el software antivirus explore los contenidos de Zip, por lo que algunos antivirus simplemente declaran que todos los archivos Zip son malvados y los disparan a la vista.

    
respondido por el Thomas Pornin 11.11.2015 - 22:08
fuente
0

El Informe de Spam y Phishing de SecureList Q3 2015 dice que las cremalleras siguen vivas y bien.

  

El texto informaba a los destinatarios que el adjunto contenía una   e-ticket. De hecho, el archivo ZIP contenía el troyano Trojan.Win32.Xtrat   y el bot DitS Nitol (el módulo utilizado para organizar los ataques DDoS).

...

  

En julio, los estafadores intentaron engañar a los usuarios enviando notificaciones falsas   en nombre de los hoteles. El mensaje agradeció a los destinatarios por permanecer en   su hotel y les pidió que vean la factura adjunta. Lo adjuntado   El archivo realmente contenía Trojan-Downloader.Win32.Upatre.dhwi, que   a su vez, descargó y ejecutó Trojan-Banker.Win32.Dyre (visto como 98.   ***. **. 39 / cv17.rar) haciendo clic en los enlaces escritos en el cuerpo del programa de descarga.

...

  

El texto en el correo electrónico podría verse fácilmente como una solicitud legítima   de un cliente; sin embargo, el archivo adjunto ZIP contenía   Trojan-Downloader.JS.Agent.hhi que descargó Backdoor.Win32.Androm.

    
respondido por el schroeder 12.11.2015 - 18:52
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo verificar que un certificado raíz es auténtico? Construyendo una puerta trasera para el cifrado completo del disco