Новая техника Zombie ZIP позволяет вредоносному ПО обходить средства защиты
habr.comНовая технология, получившая название «Зомби-ZIP», помогает скрывать вредоносные программы в сжатых файлах. Они создаются специально для того, чтобы избежать обнаружения системами безопасности, такими как антивирусы и продукты обнаружения и реагирования на угрозы на конечных устройствах (EDR).Попытки извлечения файлов с помощью стандартных утилит, таких как WinRAR или 7-Zip, приводят к ошибкам или повреждению данных.
Технология работает за счёт манипулирования заголовками ZIP-архивов, чтобы обмануть механизмы анализа и заставить их рассматривать сжатые данные как несжатые.Вместо того чтобы помечать архив как потенциально опасный, инструменты безопасности доверяют заголовку и сканируют файл, как если бы это была копия оригинала в ZIP-контейнере.Техника «Зомби-ZIP» была разработана исследователем безопасности из Bombadil Systems Крисом Азизом, который обнаружил, что она работает против 50 из 51 антивирусных движков на VirusTotal.«Антивирусные движки доверяют полю “Метод ZIP”.
