Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden

Een onderzoek van het securitybedrijf Perception Point heeft een aanvalsmethode aan het licht gebracht waarbij kwaadwillenden gebruikmaken van samengevoegde zipbestanden om malware te verspreiden.

Door twee zipbestanden, één legitiem en één schadelijk, samen te voegen, kunnen aanvallers bepaalde beveiligingscontroles omzeilen. Bij het openen met verschillende archiveringsprogramma’s tonen deze programma’s soms slechts één van de bestanden. Zo laat 7-Zip bijvoorbeeld alleen het onschuldige bestand zien, terwijl WinRAR en Windows File Explorer de schadelijke inhoud blootleggen.

Deze aanpak maakt gebruik van het feit dat verschillende zipreaders samengevoegde bestanden anders interpreteren, wat een zwakke plek creëert. Veel beveiligingsoplossingen gebruiken standaard 7-Zip of systeemeigen tools voor de analyse van zipbestanden, waardoor ze schadelijke bestanden mogelijk over het hoofd zien. Perception Point meldt dat de ontwikkelaars van 7-Zip bewust gekozen hebben voor deze werkwijze, wat betekent dat een snelle oplossing niet waarschijnlijk is. Hierdoor kunnen aanvallers blijven inspelen op deze kwetsbaarheid.

Door Andrei Stiru

Redacteur

Feedback • 12-11-2024 08:20
52 • submitter: wildhagen

12-11-2024 • 08:20

52

Submitter: wildhagen

Lees meer

ESET ontdekt cyberspionagemalware WolfsBane voor Linux
ESET ontdekt cyberspionagemalware WolfsBane voor Linux Nieuws van 22 november 2024
'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden
'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden Nieuws van 21 november 2024
PXA-infostealer steelt opgeslagen browsergegevens door masterkey te ontcijferen
PXA-infostealer steelt opgeslagen browsergegevens door masterkey te ontcijferen Nieuws van 15 november 2024
Hack op Nederlandse politie vermoedelijk uitgevoerd via gestolen cookies
Hack op Nederlandse politie vermoedelijk uitgevoerd via gestolen cookies Nieuws van 8 november 2024
Interpol haalt ruim 22.000 malafide IP-adressen offline
Interpol haalt ruim 22.000 malafide IP-adressen offline Nieuws van 7 november 2024
QBittorrent krijgt update die veertien jaar oude kwetsbaarheid verhelpt
QBittorrent krijgt update die veertien jaar oude kwetsbaarheid verhelpt Nieuws van 1 november 2024
Paradox waarschuwt voor potentiële malware in populaire Cities: Skylines II-mod
Paradox waarschuwt voor potentiële malware in populaire Cities: Skylines II-mod Nieuws van 1 november 2024
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool Nieuws van 31 oktober 2024
Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand
Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand Nieuws van 31 oktober 2024
Politiediensten delen meer details over ontmantelen Redline- en Meta-malware
Politiediensten delen meer details over ontmantelen Redline- en Meta-malware Nieuws van 29 oktober 2024
Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline
Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline Nieuws van 28 oktober 2024
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Malware Zip

Reacties (52)

-Moderatie-faq
52
51
37
1
0
8
Wijzig sortering
Davidoff1976 12 november 2024 08:25
Maar je scant toch nog een keer de bestanden als ze uitgepakt zijn?
BytePhantomX @Davidoff197612 november 2024 08:58
De vraag is of je antivirus oplossing het dan alsnog ziet. Uit de blog post kun je halen dat 48/71 AV-leveranciers deze ziet en dus nog een flink aantal niet.

Het is voor beoefende malwaremakers en pentesters echter niet zo uitdagend om Antivirus en EDR oplossingen te omzeilen. Recent ook nog hands-on ervaring met een infostealer die niet werd gezien door de EDR oplossing. Alleen maar omdat die een bestandje plaatste in de startup folder voor persistance zagen we het.
wildhagen
@Davidoff197612 november 2024 08:29
Dat is wel best practice ja, en de kans is dan vrij groot dat je on-access scanner hem alsnog oppakt. Maar het hoeft niet, niet elke virusscanner detecteert immers alle malware.

Controle op de mailserver op attachments is dus een extra beveiligingslaag, omdat de kans vrij groot is dat die gebruikte scanner een andere is dan die je op je eigen PC hebt draaien. Maar als die scanner dus 7Zip gebruikt voor het scannen van ZIPs zal die hem dus ook niet herkennen....

En dan heb je ook nog mensen die geen enkele virusscanner draaien, "want ze letten toch wel op en herkennen wel als er iets fout gaat". Daar wordt dan uiteraard in het geheel niks gedetecteerd, em die zijn het haasje. En ja, er zijn helaas nog altijd mensen die denken dat je in 2024 malware net zo goed kunt herkennen zonder virusscanner. Je zult ze de kost moeten geven...
Aetherblade @wildhagen12 november 2024 08:57
Die laatste club is waarschijnlijk de grootste club van de groepen die je noemt, maar ik denk dat het overgrote percentage er gewoon uberhaupt nooit aan zal denken.
amigob2 @wildhagen12 november 2024 09:22
Probeer maar eens Windows 10 te draaien zonder virus scanner, gaat niet
EXX @wildhagen12 november 2024 10:40
Die laatste club draait waarschijnlijk gewoon Windows Defender.
CPV @wildhagen12 november 2024 10:43
Er zijn anno 2024 ook heel veel mensen, die geen flauw idee hebben hoe een auto werkt, maar er toch in rijden.
Maar auto's zijn uitermate veilig gebouwd, dus dat is geen probleem. Je hoeft alleen te tanken en hem naar de garage te brengen voor onderhoud. Dat is niet moeilijk.
PC's niet, daar moet je zelf van alles aan doen en in de gaten houden en dat gaat vaak fout.
Plainside 12 november 2024 08:22
Foei, das geen fijne, denk ff met m'n collega overleggen om toch 7-zip uit onze installatie weg te halen.
aldieaccounts @Plainside12 november 2024 13:00
Voor persoonlijk gebruik lijkt 7zip me nou juist de veiligste, aangezien die de extra toegevoegde data dus niet uitpakt. Dat zal dan ook de reden zijn dat de 7zip developers hiervoor gekozen hebben.


Het probleem is als een mailscanner 7zip gebruikt voor virusscannen, terwijl de rest van het systeem een ander minder veilig programma gebruikt.

Beetje een onduidelijk geschreven artikel, dit.
DarkTemple @aldieaccounts12 november 2024 16:14
Dacht ik ook al. 7-zip is juist veiliger, want deze pakt de kwaadwillende files niet uit.
WinRAR is dan juist schadelijker.

Snap niet dat er dan over een 'oplossing' voor 7-zip wordt gepraat. Mis ik iets?

[Reactie gewijzigd door DarkTemple op 12 november 2024 16:17]

Patriot @DarkTemple12 november 2024 16:33
Snap niet dat er dan over een 'oplossing' voor 7-zip wordt gepraat. Mis ik iets?
Kort-door-de-bocht-reactie van Perception Point. Het feitelijke probleem is dat security software nu een library gebruikt die aan één kant van de file kijkt voor bestanden in zip-formaat en dat maakt hun klanten die gebruik maken van software die aan de andere kant kijkt kwetsbaar. De bedrijven die die software maken moeten dan ook zorgen dat ze aan beide kanten van de file gaan kijken.
ABD @Plainside12 november 2024 10:25
Het lijkt mij niet meer van deze tijd om gebruikers zelfstandig bestanden te laten uitpakken, vooral omdat ze een portable versie van software zouden kunnen gebruiken, dat geinfecteerd zou kunnen zijn.

Dat staat nog los van het feit dat er een alarm moet afgaan bij diegene die b.v. een portable versie van 'keepass' uitpakt, en er een tweede bestand genaamd 'katjaschuurmannaakt' uitgepakt wordt. Uiteindelijk moet de IT afdeling zorgen dat de gebruikers niet worden verleid.

[Reactie gewijzigd door ABD op 12 november 2024 12:28]

beerse @ABD12 november 2024 22:32
Bedenk dat deze compressie technieken veel breder gebruikt worden dan je denkt. Pak bijvoorbeeld eem msWord document. Verander de extentie in .zip en zie wat de verkenner er van laat zien.

Verbaas je niet, verwonder je slechts: Een msWord document is een zip bestand met daar in een eigen directory structuur. En de verkenner kan dat uitpakken alsof het een subdirectory is. Daar is (sinds windows 7 of zo iets) geen apart versleutel programma voor nodig, dat zit al jaren in msWindows ingebouwd.
jeroen3 @Plainside12 november 2024 08:29
7-zip geeft wel een waarschuwing dat er extra data is gevonden
-Vasa- @Plainside12 november 2024 08:52
En vervangen door? De betere compressie die je kan halen door ultra compressie naar .7z is enorm. Als je deze dus gebruikt om bijvoorbeeld via automatisatie log bestanden op verschillende locaties te zippen is dat soms al snel 10 keer efficienter. Voor een occasionele zip of iemand die het enkel gebruikt om iets te openen geen verschil, maar als je het zelf gebruikt om te comprimeren, is voor een bedrijf mij alvast geen goed alternatief bekend dat je kan installeren zonder licenties aan te schaffen (en bij winrar is het licentie gebruik ook nog eens ontzettend onpraktisch voor een bedrijf)
nandervv @Plainside12 november 2024 08:55
Is hier het risico niet dat een scanner midden onderweg 7zip gebruikt, en dus de attachments niet scannet?
Wat hier gebeurt is dat hij maar één van de twee archieven opent, en dus níét de malifide content toont.

Volgens mij is de conclusie juist: je wilt voor scans onderweg een zip-library hebben die het héle bestand toont, en aan de plek van de eindgebruiker júíst niet.
pbk @Plainside12 november 2024 10:02
Het probleem zit 'm volgens mij niet in het feit dat je collega 7-zip gebruikt, maar dat 7-zip wordt gebruikt door beveiligingstools. Weghalen van 7-zip voor de gebruiker lijkt me daar geen invloed op te hebben, toch?
Patriot @Plainside12 november 2024 11:54
In feite ben je momenteel juist kwetsbaarder als je gebruikers iets anders gebruiken dan 7-zip, dus je kunt je afvragen hoe handig die reactie is.
proatjeboksem @Plainside12 november 2024 08:44
Als jij gebruikers hebt die zipjes van onduidelijke bronnen openen, lijkt 7zip me niet het probleem.

Mss is het makkelijker om ff een memo'tje op te stellen "Hoe herken ik een zip met malware"
anders blijft je software weghalen.
Aetherblade @proatjeboksem12 november 2024 08:56
Dat is ook bijna onbegonnen werk. Als je al mensen hebt in je organisatie die het genoeg boeit dan zijn ook die mensen vaak na een week ofzo die memo weer compleet vergeten. En heel veel mensen, naar mijn ervaring, boeit dit hele onderwerp ze gewoon echt 0.
proatjeboksem @Aetherblade12 november 2024 09:02
Dat is helaas wel zo, maar dan is 7-zip niet je probleem.
nandervv @proatjeboksem12 november 2024 09:32
Vaak zijn mensen inderdaad het grootste probleem in de software ;).
CriticalHit_NL @Matthieu12 november 2024 11:09
Beetje kortzichtig.

RAR5 had bijvoorbeeld ondersteuning gekregen voor multi-threaded unpacking, wat dus de snelheid van uitpakken verbeterd en je dus eigenlijk vooral storage afhankelijk maakt qua snelheid, en het is in mijn ervaring ook sneller dan zeer grote .7z archieven uitpakken.

En WinRAR heeft uiteraard de optie om herstelbestanden toe te voegen, als het bestand beschadigd is, is het mogelijk toch het bestand uit te pakken zonder gegevensverlies, en dit heb ik succesvol getest door random in het .rar bestand bits aan te passen in een hexedit.

Windows is altijd overal maar érg basaal in en er zijn vast nog veel andere functionaliteiten die ik niet benoem waar Windows niks mee kan.
Christoxz @Plainside12 november 2024 08:27
nvm.

[Reactie gewijzigd door Christoxz op 12 november 2024 08:28]

LigeTRy 12 november 2024 08:45
Zo laat 7-Zip bijvoorbeeld alleen het onschuldige bestand zien, terwijl WinRAR en Windows File Explorer de schadelijke inhoud blootleggen.
Is dit altijd zo of kan het ook zo zijn dat WinRar/Windows de onschuldige inhoud laat zien en 7z de malafide?
hcQd @LigeTRy12 november 2024 08:53
De ene laat het eerste bestand van de set zien, de andere de laatste. Het hangt er maar net vanaf welke de malware bevat.
nandervv @hcQd12 november 2024 08:57
Ja, maar het probleem zit hem erin dat virusscanners die onderweg zitten hem dus niet oppakken, dus het probleem zit hem in de tweede helft.

Als je een mailserver hebt die zipfiles scannet, en die gebruikt 7zip voor het inspecteren ervan, dan checkt deze dus niet de tweede helft van de zip-files.
Als de eerste helft malware bevat en de tweede helft niet, dan vindt de virusscanner van je mailserver dat dus, en dan ben je gewoon veilig.

Voor lokaal gebruik is 7zip geen issue, het gaat om middenin het proces.

Het specifieke scenario waar dit stuk gaat is:
Bestand bestaat uit twee delen: veilig + onveilig
Mailserver scant met 7zip
Eindgebruiker heeft microsoft zip.

Nu komt het de mailserver door, maar wordt het door de computer van de eindgebruiker wel uitgepakt. Dit verwijdert dus een veiligheidslaag.

[Reactie gewijzigd door nandervv op 12 november 2024 08:58]

hcQd @nandervv12 november 2024 08:59
Hangt er natuurlijk vanaf welke keuze de mailscanner maakt, voor hetzelfde geld scant deze de tweede in plaats van de eerste. Beste als deze ze beide zou controleren,

[Reactie gewijzigd door hcQd op 12 november 2024 09:00]

ShadLink @hcQd12 november 2024 09:01
Inderdaad. Dan zou je voor Windows / WinRar de malware in de eerste zipfile moeten plaatsen. Wat uiteindelijk hetzelfde effect heeft.
JacOwns7 12 november 2024 08:25
+1 voor team WinRAR? :)
Patriot @JacOwns712 november 2024 11:50
Eigenlijk niet, toch? Het zijn juist gebruikers van WinRAR en de standaardfunctionaliteit van Windows die het risico lopen.
JacOwns7 @Patriot12 november 2024 12:33
Opzich zou ik wel alle content van een Zip willen inzien en dan een beslissing maken. Maar ik ben ook niet echt een groot gebruiker van Zip.
Patriot @JacOwns712 november 2024 12:37
In beide situaties zie je nu maar één van de twee bestanden. 7-zip toont de bestanden aan het begin van de file, WinRAR de bestanden aan het einde. Beide varianten zijn dus incompleet.
aldieaccounts @Patriot12 november 2024 13:04
Is dat ook zo? Ik meen me te herinneren dat winrar bij meerdere aan elkaar geplakte zip bestanden de bestanden uit *alle* zips laat zien. Met als extra kanttekening dat bestanden met dezelfde naam uit een 'latere' zip de eerdere overschrijven.

Of was dat alleen met concatenated rars ? Ik weet het niet meer precies, het is jaren geleden dat ik winrar gebruikt heb.
Patriot @aldieaccounts12 november 2024 13:06
In het bronartikel zie je dat je in WinRAR gewoon alleen 'second.txt' ziet, dat is het bestand dat alleen in het tweede gedeelte zit (want in het eerste gedeelte zit een bestand dat heet 'first.txt'). Kan zijn dat dit gedrag anders is bij rars natuurlijk, dat weet ik niet (maar valt buiten de scope van dit probleem).

[Reactie gewijzigd door Patriot op 12 november 2024 13:06]

fenrirs @JacOwns712 november 2024 08:39
En dus ook, niet populair om te zeggen door sommigen, MS. Die doen het dus ook gewoon goed.

[Reactie gewijzigd door fenrirs op 12 november 2024 08:39]

GertMenkel
@fenrirs12 november 2024 11:02
MS doet het niet goed, ze doen het anders. De .exe kan net zo goed in het gedeelte zitten dat alleen 7-zip toont en dan zou Windows het weer "fout" doen.

Zowel 7-Zip als Windows doen ze het eigenlijk "goed". Het probleem is dat er geen standaard voor deze situatie is en dat het niet voorspelbaar is hoe het bestand wordt geïnterpreteerd.

Qua beveiliging is dat alleen een probleem als je antivirusprogramma niet beide opties in acht neemt. De veiligste optie is gewoon weigeren het bestand te openen als er meerdere indices in een archief zitten, maar dat doen geen van beide tools.
kuurtjes @JacOwns712 november 2024 12:28
In het bron artikel geven ze een voorbeeld over hoe je iets legitiem in het 1ste zip bestand kan hebben en iets malicious in het 2de. Dan laat inderdaad 7zip de wensen over en WinRAR niet. Maar als je het andersom doet is het ook gewoon omgedraaid, en laat WinRAR het niet zien maar 7zip wel.

Voor virusscanners is dat belangrijk omdat er veel rechstreeks 7zip gebruiken. Maar er zijn ook een tal van virusscanners die bijvoorbeeld libzip gebruiken.

[Reactie gewijzigd door kuurtjes op 12 november 2024 12:32]

Anoniem: 454358 12 november 2024 08:46
Dat is toch al 25 ish jaar het geval? Ik kan me dat van vele jaren geleden nog herrineen dat een zip in een zip een virus bevatte.
GertMenkel
@Anoniem: 45435812 november 2024 11:02
Dit is geen zip in een zip, maar twee zips achter elkaar geplakt.
VirtualGuineaPig 12 november 2024 08:52
"... de ontwikkelaars van 7-Zip bewust gekozen hebben voor deze werkwijze"

Hmmm, Igor Pavlov. is volgens mij de ontwikkelaar. Maar forks (Nanazip) hebben dus waarschijnlijk ook een dergelijke "feature"?
Patriot 12 november 2024 12:11
Het is ergens een beetje dubieus om te doen alsof dit een kwetsbaarheid in 7-zip is. Specifiek is 7-zip zo ontworpen dat het aan het begin van het bestand begint te kijken welke bestanden er in de zip zitten en pas stopt als het een end-of-central-directory tegenkomt. Die directory bevat (in theorie) een lijst van de zich in de zip-file bevindende bestanden. De andere tools proberen éérst die directory uit te lezen en zoeken dan de bestanden zoals ze daarin zijn aangegeven. De ene manier is niet per se "legitiemer" dan de andere, het is alleen anders.
Fox3214 12 november 2024 13:42
Als ik me niet vergis zouden een IPS van Palo Alto, Checkpoint en Fortinet dit moeten kunnen detecteren bij het zenden of ontvangen van dit soort zip bestanden.
redboyke 12 november 2024 09:13
Ik had gisteren een paar bestanden geselecteerd die je kon laten inpakken op een site en Google Chrome markeerde die als malicious. Dus ik denk dat je zip door een website laten zippen al genoeg is om het als malicious te zien.
Seal64 @redboyke12 november 2024 10:29
Waarom zou je je bestanden via een website laten inpakken? Vertrouw jij die website dusdanig dat je je files daar naartoe gaat uploaden en dan maar moet aannemen dat ze die netjes inpakken en terug sturen?

Sowieso zet je dan de deur wijd open voor datadiefstal, want je uploadt je data naar een onbekende partij. Ze kunnen dat kopiëren, maar ook aanpassen of er extra rommel in stoppen. Geen wonder dat Chrome dat dan als potentieel malicious bestempelt.
CriticalHit_NL @redboyke12 november 2024 11:06
Natuurlijk doet Chrome dat, omdat het zip bestand wat gegenereerd wordt een unieke hash krijgt die nog niet bekend is op het internet, dergelijke downloads worden dan automatisch als gevaarlijk gemarkeerd.
Azenomei 12 november 2024 11:24
Winrar blijft in dat opzicht toch nog steeds een goede tool. Laatst had ik ook enkele zips die "beschadigd" waren. Foutmeldingen behalve bij Winrar, die kon ze gewoon openen en uitpakken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq