Bilgisayar Korsanları Tespit Edilmemek İçin Artık ZIP Dosyası Birleştirme Tekniğini Kullanıyor
Son zamanlarda bilgisayar korsanları, Windows makinelerine yönelik zararlı yazılım saldırılarında ZIP dosyası birleştirme tekniğini kullanarak güvenlik yazılımlarının tespitini atlatıyor. Bu yöntem ZIP dosyalarını birleştirerek zararlı yazılımları gizleyen bir taktiği içeriyor.
ZIP Dosyası Birleştirme Tekniği Nedir?
ZIP dosyası birleştirme tekniği, birden fazla ZIP dosyasının birleştirilerek tek bir dosya gibi görünmesini sağlıyor. Fakat bu birleşim aslında birden fazla ZIP yapısını içeren dosyalarla sonuçlanıyor. Her ZIP yapısının kendi merkezi dizini ve bitiş işaretleyicileri bulunuyor. Bu duru, ZIP dosyalarını açan araçların yanlış bir şekilde zararsız dosyalar göstererek kötü amaçlı yazılımları gizlemesine olanak tanıyor.
Bu saldırı tekniği, genellikle bir phishing (oltalama) e-posta saldırısının parçası olarak kullanılıyor. Örneğin, kullanıcılar sahte bir kargo bildirimi içeren e-posta alıyor. Bu postada bulunan ZIP dosyalarını açıyor. ZIP dosyasının ilk bölümü zararsız içerikler barındırırken, ikinci bölümde zararlı yazılım gizleniyor.
ZIP dosyasını açan araçlar, birleştirilmiş ZIP dosyalarını farklı şekilde ele alması bu saldırının başarısına zemin hazırlıyor. Perception Point tarafından yapılan testlere göre;
- 7zip, yalnızca ilk ZIP dosyasını okuyor. Daha sonra ek veri hakkında kullanıcılara uyarı veriyor.
- WinRAR, her iki ZIP yapısını da okuyarak tüm dosyaları gösteriyor. Bu da zararlı yazılımın görünmesine yol açıyor.
- Windows Dosya Gezgini, birleştirilmiş ZIP dosyasını bazı durumlarda açmıyor. Dosya uzantısı değiştirilmişse sadece ikinci ZIP yapısını gösteriyor.
Bu saldırıyı başarılı kılmak için, hackerlar ZIP dosyalarının yerini değiştiriyor. Genel olarak zararlı yazılımları dosyanın birinci ya da ikinci bölümüne yerleştiriyor. Örneğin, 7zip ile açılan bir dosya sadece zararsız bir PDF dosyası gösterirken, Windows Explorer ile açıldığında zararlı bir yürütülebilir dosya (executable) ortaya çıkabiliyor.
Uzmanlar bu tür saldırılara karşı korunmak için, kapsayıcı dosya çözücüleri ve güvenlik çözümleri kullanılmasını öneriyor. Ayrıca, ZIP veya benzeri arşiv dosyaları içeren e-postalar her zaman şüpheyle karşılanmalı ve kritik ortamlarda bu dosya uzantılarına yönelik filtreleme uygulamalarını tavsiye ediyor.
ZIP dosyası birleştirme tekniği, kötü amaçlı yazılımların tespit edilmesini zorlaştıran yeni bir tehdit vektörü sunuyor. Kullanıcılar ve organizasyonlar, dosya açmadan önce dikkatli olması gerekiyor.