IT-Forscher haben Malware entdeckt, die der Erkennung durch Virenscanner durch Verkettung von ZIP-Dateien entgeht.
Windows-Nutzerinnen und -Nutzer, die bestimmte Tools zum Öffnen von ZIP-Dateien verwenden, stehen im Visier von Cyberkriminellen. Sie senden speziell präparierte ZIP-Dateien, die von Virenscannern nicht angemeckert werden, aber sich mit bestimmten Programmen öffnen lassen.
Im konkreten Fall haben die IT-Forscher von PerceptionPoint verkettete ZIP-Archive mit Schadsoftware darin entdeckt und beschreiben den Fall in einer Analyse. Ein Trojaner, der als Frachtpapier-Dateianhang getarnt war, versteckte sich in einem verketteten ZIP. Dieser Dateianhang an der E-Mail wird von vielen Anti-Malware-Programmen nicht entdeckt. Auf den Windows-Schädling in diesem manipulierten Archiv ließ sich etwa mit WinRAR jedoch zugreifen.
Aneinandergehängte ZIP-Dateien
Die Erkennung durch Antivirensoftware lässt sich mit ZIP-Dateien umgehen, die einfach aneinander kopiert wurden: An das harmlose .zip-Archiv eins hängen die Täter einfach das zweite .zip, das den Schädling enthält. Unter Windows würde etwa der Befehl copy /b Archiv-*.zip VerkettetesArchiv.zip die Dateien zusammenführen, die etwa als Archiv-1.zip und Archiv-2.zip in dem Verzeichnis vorliegen.
Die Ursache des Problems liegt im Umgang unterschiedlicher Software mit solchen Dateien. Die IT-Sicherheitsforscher haben das verkettete ZIP mit mehreren Programmen getestet: 7zip zeigt die Inhalte der ersten Datei und eine Warnung, dass weitere Daten nach dem Ende des Archivs vorliegen. Das im Windows Explorer ZIP-Tool liefert unterschiedliche Ergebnisse. Mit der Dateiendung .zip kann es die Datei gar nicht öffnen, sofern das präparierte Archiv jedoch in .rar umbenannt wird, taucht der Inhalt des zweiten Archivs mit der Malware auf. WinRAR hingegen liest das zentrale Verzeichnis des zweiten .zip und zeigt dessen Inhalt an. Ein derartiger Angriff ist also nur auf Nutzerinnen und Nutzer mit WinRAR erfolgversprechend, oder mit geändertem Dateinamen auf Windows-Nutzer mit Windows-Bordmitteln. Die Phishing-Mail in dem analysierten Fall enthielt dieses verkettete ZIP-Archiv mit dem Dateinamen “SHIPPING_INV_PL_BL_pdf.rar”. Auf die Malware war dadurch mit Windows-eigenen Tools und WinRAR zugreifbar.
Virenscanner nutzen meist vorgefertigte Bibliotheken zum Umgang mit Archiven – etwa als kostenlose Open-Source in die Quellen integriert. Der 7zip-Entpacker ist etwa dafür frei verfügbar, kann die manipulierten Archive aber nicht korrekt auseinandernehmen, die Untersuchung auf Malware ist dadurch nur eingeschränkt (auf das erste Archiv) möglich.
Der Versuch, die Erkennung von Schadsoftware etwa mit gezielt zerstörten oder leicht defekten Dateien zu umgehen, gehört zum Standard-Repertoire von Cyberkriminellen. Die diversen Parser funktionieren nicht identisch wie die, die im Betriebssystem eingesetzt werden, und liefern dadurch unterschiedliche Ergebnisse ab. Im Februar wurde etwa bekannt, dass die Erkennung von mittels rundll32.exe gestarteter Malware im Microsoft Defender nicht funktionierte, wenn der Aufruf um eine sogenannte Path Traversal erweitert wurde. Das hatte Microsoft zunächst korrigiert, jedoch ließ sich die Schwachstelle erneut nutzen, indem ein zusätzliches, ansonsten unnützes Komma in den Aufruf ergänzt wurde.