Executando verificação de segurança...
1
JeielLimaMiranda
2 min de leitura ·

Hackers estão usando concatenação de arquivos ZIP para esconder malware!

⚠️ Hackers estão usando concatenação de arquivos ZIP para esconder malware e escapar de detecções de segurança. Eles combinam arquivos ZIP, incluindo um com malware e outros inofensivos. 📂 Quando abertos, certos sistemas podem exibir apenas os arquivos inofensivos, ocultando o malware. Especialistas recomendam ferramentas que façam extração completa dos arquivos e atenção com anexos ZIP.

Movido pela curiosidade, decidi investigar o assunto. Carreguei um arquivo malicioso para o Windows e tentei replicar a técnica de concatenação mencionada na notícia.

No primeiro teste, enviei o arquivo para o VirusTotal sem compactação. Felizmente, o Windows Defender, o antivírus nativo do sistema, detectou o arquivo como um "Trojan". Era um programa legítimo, mas disfarçado de forma maliciosa.

No segundo teste, com o arquivo concatenado, o Windows Defender não conseguiu detectá-lo, embora a pontuação no VirusTotal fosse 27. Isso mostra que, embora as ferramentas de segurança sejam indispensáveis, o maior "antivírus" ainda somos nós mesmos. Vale ressaltar que o cuidado nunca é demais.

Para obter uma pontuação de 0, você precisaria executar o seguinte comando na linha de comando (não estou usando arquivos maliciosos, apenas para fins educacionais):

echo "test" > fi.txt
echo "test2" > fi2.txt
zip fi.zip fi.txt
zip fi2.zip fi2.txt
cat fi.zip fi2.zip > file.zip
unzip file.zip

Note que, ao abrir o arquivo zip de forma tradicional pela interface gráfica, pode-se perceber a presença de um arquivo adicional. Essa é uma tática que criminosos podem usar para ocultar informações ou arquivos maliciosos.

Archive:  file.zip
warning [file.zip]:  167 extra bytes at beginning or within zipfile
  (attempting to process anyway)
replace fi2.txt? [y]es, [n]o, [A]ll, [N]one, [r]ename:

Agora que você está ciente desse risco, ajude outras pessoas ou seus colaboradores. Oriente-os a não confiar cegamente nos antivírus, pois, mesmo que eles digam que o arquivo é seguro, é sempre importante verificar sua origem. Recebeu um arquivo por e-mail ou pelas redes sociais? Uma dica: descompacte os arquivos e envie-os para análise dos antivírus. Isso permitirá que eles façam seu trabalho de forma mais eficaz, especialmente para aqueles que não têm familiaridade com o assunto.

Fonte: https://ift.tt/LrngCBE

Carregando publicação patrocinada...
1
gpoleszuk

JeielLimaMiranda, você consegue reverter qualquer arquivo com conteúdo suspeito? E se o pacote zip está encriptado com senha?

Assim como você, já tive acesso a uma ou outra dessas ameaças quando procurei entender o funcionamento de payloads de algumas CVEs. Para determinadas vulnerabilidades, publicam todo pacote junto com a análise construída (Prova de Conceito). As formas mais incomuns para esconder esses exploits de antivirus são, por exemplo:

  • pacotes em Base64/Base32 (ou outra base) codificado várias vezes com reversão da sequência de bytes;
  • "soma" (XOR) de resultados de uma função determinística aos valores inteiros de bytes, misturando-os;
  • espalhamento de bits em posições específicas numa imagem;
  • vetores de bytes hardcoded como tabelas de constantes para tradução;
  • e a lista de criatividades segue...

Hoje, como as evidências para investigação ainda importam, os atacantes criam apenas um loader não malicioso para diminuir os rastros. Assim que esse loader certifica-se de seus poderes, baixa o payload de um local remoto (de algum site legítimo já infectado). Cara, e esse local pode ser qualquer um que não limita conteúdo ou o descaracteriza (marcas dagua, por exemplo). Se usou AES para encriptar o pacote, baixa a chave de algum lugar e é praticamente impossível, nesta época, quebrar o AES. Isso dificulta, em parte, reproduzir o ataque por completo para entender o funcionamento caso esses "depósitos distribuidos" na nuvem desapareçam. Se o loader for "genérico", permite carregar diferentes tipos de ameaças. É muita criatividade para um fim nada bom.

1
JeielLimaMiranda
Autor
Autor

E se o pacote zip está encriptado com senha?

Há ferramentas de quebrar a senha. Além disso, o que é esperado por um malware é seu comportamento seja no código ou por conexão de rede.

1
JeielLimaMiranda
Autor
Autor

JeielLimaMiranda, você consegue reverter qualquer arquivo com conteúdo suspeito?

Não. Dependendo do arquivo suspeito. Especialmente quem é da área de SOC (Centro de Operações de Segurança). Pois arquivos maliciosos não tem como esconder sem se manifestar o seu comportamento.