La concatenazione ZIP rappresenta l’ultima evoluzione nelle tecniche di attacco informatico; questa metodologia sfrutta le vulnerabilità nei sistemi di lettura degli archivi compressi. Il processo è ingegnosamente semplice; gli attaccanti combinano più file ZIP in un unico archivio.
Tramite questa tecnica di concatenazione dei file ZIP gli hacker sono in grado di distribuire payload dannosi in archivi compressi senza che le soluzioni di sicurezza li rilevino. La peculiarità di questa tecnica risiede nella capacità di nascondere contenuti malevoli all’interno di strutture apparentemente innocue.
Il metodo sfrutta le differenze nel modo in cui i vari programmi interpretano gli archivi concatenati; alcuni visualizzano solo il primo archivio, mentre altri mostrano l’intero contenuto. Questo comportamento differenziato crea quindi una zona grigia perfetta per nascondere malware e altri file dannosi.
La tecnica risulta particolarmente efficace perché molti software di sicurezza non sono ancora ottimizzati per rilevare questo tipo di minaccia. Allora i criminali informatici approfittano di questa lacuna e distribuiscono payload malevoli attraverso canali che normalmente verrebbero considerati sicuri.
Concatenazione ZIP : l’implementazione dell’attacco
Questo nuovo attacco è stato individuato da Perception Point; la società di sicurezza informatica ha scoperto un archivio ZIP concatenato che nascondeva un trojan mentre analizzava una email (sotto) di phishing con un falso avviso di spedizione.
L’attacco si sviluppa attraverso fasi ben definite e studiate. Gli aggressori creano inizialmente due o più archivi ZIP separati; uno contiene file legittimi, l’altro nasconde il malware. La concatenazione avviene attraverso semplici comandi di sistema che uniscono i file binari. Il risultato finale appare come un singolo archivio, ma contiene multiple directory centrali e marker di fine file.
Questa struttura complessa confonde i sistemi di sicurezza tradizionali. I criminali informatici personalizzano l’attacco in base al comportamento dei diversi lettori ZIP; possono nascondere il malware nel primo o nel secondo archivio della concatenazione. Inoltre, la tecnica viene spesso combinata con attacchi di phishing; le email contengono allegati che sembrano documenti di spedizione o fatture. La versatilità di questo metodo permette sempre agli attaccanti di adattare le loro strategie in base al target specifico.
Comportamento dei software di decompressione più noti
Per capire meglio tecnica, considera il seguente scenario:
echo "this is a harmless file!" > first.txt
echo "This is a very scary malware" > second.txt
7zz a pt1.zip first.txt
7zz a pt2.zip second.txt
cat pt1.zip pt2.zip > combined.zipIn questo esempio, due file ZIP legittimi (pt1.zip e pt2.zip) sono concatenati in un unico file (combined.zip). La directory centrale del secondo archivio (pt2.zip) ha la precedenza, nel senso che solo i file elencati in questa directory sono visibili ad alcuni lettori ZIP.
Ciascuno strumento elabora la directory centrale in modo diverso, portando a una visibilità diversa del contenuto nascosto o dannoso.
I test condotti su diversi software di decompressione rivelano comportamenti significativamente diversi. 7zip visualizza esclusivamente il contenuto del primo archivio; questo comportamento può indurre in errore anche i più attenti. WinRAR si dimostra più accurato nella lettura. Mostra sempre tutti i contenuti, inclusi eventuali file nascosti.
Anche Windows File Explorer presenta comportamenti imprevedibili; in alcuni casi non riesce ad aprire il file concatenato. Queste differenze creano confusione e incertezza.
I criminali informatici sfruttano queste discrepanze per massimizzare l’efficacia dei loro attacchi. La mancanza di standardizzazione nel trattamento degli archivi concatenati rappresenta una vulnerabilità significativa nei sistemi di sicurezza attuali.
Questa tattica sfrutta quindi i vari comportamenti dei lettori ZIP, compresi quelli comunemente utilizzati dai più diffusi strumenti di sicurezza informatica. Molti fornitori di sicurezza si affidano a gestori ZIP popolari come 7zip o strumenti nativi del sistema operativo per analizzare i file ZIP per ulteriori analisi. Gli autori delle minacce sanno che questi strumenti spesso non rilevano o trascurano i contenuti dannosi nascosti all’interno degli archivi concatenati, consentendo loro di distribuire il proprio carico utile senza essere rilevati e quindi prendere di mira chi utilizza un programma specifico per lavorare con gli archivi.
Strategie di difesa
La protezione contro gli attacchi basati sulla concatenazione ZIP richiede un approccio multilivello. L’implementazione di soluzioni di sicurezza che supportano l’estrazione ricorsiva rappresenta il primo passo fondamentale.
Per esempio l’algoritmo anti-evasione proprietario di Perception Point, Recursive Unpacker, risolve questa lacuna rilevando quando un archivio ZIP (o un RAR non valido) viene concatenato ed estrae ricorsivamente ogni livello. Analizzando ogni livello in modo ricorsivo, garantisce che nessuna minaccia nascosta venga trascurata, indipendentemente da quanto profondamente sia sepolta; i payload profondamente annidati o nascosti vengono rivelati per ulteriori analisi.
I sistemi di filtraggio email devono essere configurati per bloccare le estensioni potenzialmente pericolose. L’adozione di policy di sicurezza specifiche per la gestione degli archivi compressi diventa cruciale. L’utilizzo di scanner antimalware aggiornati può contribuire a identificare file sospetti. La verifica incrociata dei file attraverso diversi programmi di decompressione aumenta le possibilità di rilevare minacce nascoste.
Concatenazione zip: conclusioni
L’efficacia della concatenazione ZIP deriva dalla semplicità concettuale combinata con lo sfruttamento di vulnerabilità tecniche profonde. La protezione richiede un aggiornamento costante delle strategie difensive e una maggiore consapevolezza dei rischi.
L’evoluzione di questa minaccia sottolinea l’importanza di un approccio proattivo alla sicurezza. La standardizzazione nel trattamento degli archivi compressi diventa una priorità per il futuro della sicurezza informatica.
