ZIP Dosyalarının Esnek Yapısı Kötü Amaçlı Yazılımların Gizlenmesi İçin Kullanılıyor

-

ZIP dosyalarının esnek yapısı, saldırganlar tarafından kötü amaçlı yazılımları tespit edilmeden gizlemek için kullanılmaya başlandı. Siber saldırganlar, SmokeLoader Truva Atı gibi zararlı yazılımları içeren ekleri oltalama saldırılarıyla gönderirken, ZIP dosyalarını birleştirme (concatenation) yöntemini kullanarak birden fazla arşivi tek bir dosyada topluyor ve güvenlik araçlarından gizlemeyi başarıyor.



ZIP Dosyalarında Birleştirme Yöntemi Nasıl Kullanılıyor?

Yeni araştırmalara göre, saldırganlar ZIP dosyalarının çoklu arşiv yapısını, her bir arşiv için farklı dosya dizinleri oluşturacak şekilde birleştirerek kullanıyor. Bu sayede ZIP dosyasını açan kullanıcı veya güvenlik aracı sadece belirli bir dosya setine ulaşabiliyor. Ancak, ZIP dosyasının yapısındaki bu uyumsuzluk, bazı güvenlik araçlarının tüm dosyaları analiz edememesiyle sonuçlanıyor. Perception Point'ten Arthur Vaiselbuh ve Peleg Cabra’ya göre, bu yöntem sayesinde saldırganlar kötü amaçlı içerikleri ZIP dosyalarında gizleyebiliyor ve dosyaları bazı ZIP okuyucuları tarafından tespit edilemez hale getiriyor.

ZIP Okuyucularının Birleştirilmiş ZIP Dosyalarını Ele Alış Şekilleri

Perception Point, 7.zip, Windows Dosya Gezgini ve WinRAR gibi popüler ZIP okuyucularının birleştirilmiş ZIP dosyalarını nasıl işlediğini analiz ederek bu yöntemin güvenlik açısından risklerini ortaya koyuyor:

  • 7.zip: Bu program, birleştirilmiş ZIP dosyalarının sadece ilk kısmını gösteriyor ve arşiv sonunda ekstra veriler bulunduğuna dair bir uyarı veriyor. Ancak, çoğu kullanıcı bu uyarıyı gözden kaçırdığı için zararlı dosyalar fark edilmeyebiliyor.

  • Windows Dosya Gezgini: Windows Gezgini, bazı durumlarda dosyayı açamayabiliyor veya dosya uzantısı .rar olarak değiştirildiğinde sadece kötü amaçlı ikinci arşivin içeriğini gösteriyor. Bu eksik gösterim, güvenlik açıklarına yol açabiliyor.

  • WinRAR: WinRAR, ikinci dizini okuyarak gizli olan kötü amaçlı içeriği gösterebiliyor. Bu özelliği sayesinde WinRAR, diğer araçlara kıyasla kötü amaçlı dosyaları daha etkili şekilde açığa çıkarabiliyor.

Oltalama Saldırıları: ZIP Dosyalarının Kötüye Kullanımı

Bu tekniği kullanan oltalama saldırılarında, saldırganlar kargo şirketlerinden geliyormuş gibi görünen ve "Yüksek Öncelikli" olarak işaretlenmiş sahte e-postalar gönderiyor. Gönderilen ek dosya (örneğin, SHIPPING_INV_PL_BL_pdf.rar), kullanıcıların dikkatini çekmek ve güvenlerini kazanmak amacıyla kargo dokümanı gibi gösteriliyor. Bu dosya aslında bir ZIP dosyası ve içerdiği SmokeLoader Truva Atı ile kullanıcıların cihazlarına başka zararlı yazılımlar indirip çalıştırabiliyor.

Kötü Amaçlı Yazılımların Gizlenmesi ve Tespit Zorlukları

Perception Point’in analizine göre, ZIP dosyasını 7.zip ile açan kullanıcı sadece zararsız görünen bir PDF dosyasını (örneğin, x.pdf) görebiliyor. Ancak Windows Dosya Gezgini veya WinRAR kullanıldığında, kötü amaçlı yazılım içeren "SHIPPING_INV_PL_BL_pdf.exe" dosyası görünür hale geliyor ve çalıştırılabiliyor. Bu durum, farklı ZIP okuyucularının dosyaları ele alış biçimindeki farklılıkların saldırganların bu yöntemi istismar etmesine olanak sağladığını gösteriyor.

Kalıcı Bir Güvenlik Açığı: Çözüm ve Önlemler

Bu tür saldırılara karşı önlem almak için, güvenlik araştırmacıları 7.zip geliştiricilerine ulaşarak bu uyumsuzlukla ilgili bir çözüm önerdi. Ancak geliştirici, bunun bir hata olmadığını, bilerek uygulanan bir işlevsellik olduğunu belirtti. Bu nedenle saldırganlar, bu yöntemle ZIP dosyalarını kötü amaçlı yazılım saklama amacıyla kullanmaya devam edebilirler.

Bu tür oltalama saldırılarına karşı korunmak isteyen kullanıcıların, tanımadıkları göndericilerden gelen ve acil işlem gerektirdiğini iddia eden e-postaları dikkatle incelemeleri öneriliyor. Ayrıca, şirketlerin, bir ZIP dosyasında birleştirilmiş arşivleri tespit eden ve derinlemesine analiz yapabilen gelişmiş güvenlik araçları kullanmaları, gizlenmiş tehditlerin ortaya çıkarılmasına yardımcı olabilir.

Sonuç olarak, ZIP dosyalarının birleştirilmiş arşiv yapısının kötüye kullanımı, saldırganlara güvenlik araçlarını aşma fırsatı sunuyor. Bu tür saldırılar karşısında dikkatli olmak ve gelişmiş güvenlik çözümlerinden yararlanmak önemli bir koruma yöntemi olarak öne çıkıyor.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

En İyi 20 Hacker Duvar Kağıtları

-
Resim
Çok uluslu şirketlerin üst düzey sunucularında aniden büyük hackler gerçekleştiren efsanevi karakterler, kesinlikle herkes bir hacker'ı duymuştur . Ve herhangi bir yasadışı faaliyete açıkça katılmasak da, yine de hackerlar ve onların faaliyetleri her zaman dikkatimi çekti. 
Devamını Oku

C# Araç takip Programı

-
Resim
Merhabalar değerli okuyucularımızın kullana bileceği bir program olarak sunulmuştur. # araç takip prgoramı. Program görünümü ; Çalışma şekli ise alt kısımdadır. Temizle butonu olayı temizler. görüldüğü gibi çalışma şekli gayet normal geliştirile bilir diye düşünüyorum. not : emeği geçen hocama teşekkür ederim :) [URL=http://speedy.sh/gs8FV/Arac.exe]Araç Kayıt Programı[/URL] c# kaynak kodları public partial class Form1 : Form     {         public Form1()         {             InitializeComponent();         }         int siraNo = 1;         bool FormVenganza()         {             if (string.IsNullOrWhiteSpace(txtUrunAdı.Text) || string.IsNullOrWhiteSpace(txtAdet.Text) ||(!rbArac.Checked && !rbBakımOnarım.Checked && ! rbModifiye.Checked))             {                 return true;             }             else             {                 return false;             }     }         decimal KdvOrani()         {            
Devamını Oku