Güvenlik araştırmacıları, kötü niyetli aktörlerin, içindeki kötü amaçlı yazılımın tespit edilmesini önlemek için ZIP dosyası birleştirmeyi kullandığını keşfetti. Bu teknik, birden fazla ZIP dosyasının iç arşivlerden birinde depolanan kötü amaçlı yazılımla birleştirilmesini içerir ve böylece kötü amaçlı yazılımdan koruma yazılımının keşfedilmesini zorlaştırır. Ayrıca araştırmacılar, Algılama Noktası (s/t BleepingBilgisayar), en popüler üç dosya arşivleyicisinin (7zip, WinRAR ve Windows Dosya Gezgini) birleştirilmiş arşivleri işleme biçimlerinin bu tür saldırılarda tespit oranlarını etkilediğini belirtti.
ZIP dosyaları genellikle arşivleme yazılımına her bir dosyanın arşiv içinde nerede bulunduğunu ve verilerinin nerede başlayıp nerede bittiğini söyleyen tek bir merkezi dizine sahiptir. Bununla birlikte, birleştirilmiş arşivlerin iki veya daha fazla merkezi dizini vardır; dosya arşivleyicisi, kullanıcı içeriğin ön izlemesini yaptığında yalnızca bir merkezi dizini açar. Örneğin, 7zip yalnızca ilk merkezi dizini gösterirken WinRAR ikincisini gösterir. Öte yandan, Windows Dosya Gezgini birleştirilmiş ZIP dosyalarını açmayı tamamen reddeder (ancak dosya .RAR dosyası olarak yeniden adlandırılırsa ikinci dizini açar).
Dolayısıyla, kötü amaçlı dosya ikinci dizinde depolanıyorsa, 7zip kullanarak dosyayı açan kullanıcılar kötü amaçlı yazılımı hiç görmez; yalnızca zararsız olan ilk dizin görülür ve paketten çıkarılır. Arşivde başka bir dosya bulunduğunun tek göstergesi, çıkarma penceresinde görünen uyarıdır; “Faydalı yük verilerinin bitiminden sonra bazı veriler var”. Ancak WinRAR veya Windows Dosya Gezgini’ni (birleştirilmiş bir .RAR arşiviyle birlikte) kullanırsanız, kötü amaçlı yazılım dosyasını görebilir ve paketini açabilirsiniz.
Bunun muhtemelen bazı arşiv yazılımlarının popüler kullanım örneklerine dayalı olarak amaçlanan bir davranış olduğunu unutmayın. Geliştiriciler ve siber güvenlik uzmanları da dahil olmak üzere teknoloji meraklısı kullanıcıların çoğu 7zip’i tercih ediyor. Dolayısıyla, genellikle kimlik avı e-postası aracılığıyla gönderilen şüpheli dosyayı açarlarsa, kötü amaçlı programı göremezler ve bu da saldırı vektörünün gözden kaçmasına olanak tanır. Öte yandan bazıları arşivi doğrudan Windows Dosya Gezgini’nde veya WinRAR’da açabilir. Dosyanın kimlik avı e-postası aracılığıyla teslim edildiği göz önüne alındığında, teknoloji konusunda bilgili olmayan kullanıcılar bu saldırının açık hedefleridir. Virüslü dosyayı açtıklarında dosya internete bağlanarak fidye yazılımlarını, bankacılık truva atlarını ve diğer gelişmiş kötü amaçlı yazılım türlerini indirebiliyor.
Bu, arşiv yazılımının tuhaflıklarından ve özelliklerinden yararlanan ilk kötü niyetli saldırı değil. Örneğin, bir güvenlik araştırmacısı daha önce, 46 MB’lık tek bir arşivin 4,5 PB’lik devasa bir klasöre genişlediği ve potansiyel olarak onu açan sistemin çökmesine neden olan ‘Zip Bomb’ saldırısını keşfetmişti. Bağlamda bu depolama miktarı, her biri 1 MB boyutunda 4,5 milyar yüksek kaliteli fotoğrafa veya bir saat 1,4 GB tüketiyorsa 366 yıldan fazla HD videoya eşittir. Bu, güvenlik yazılımının siber güvenliğin önemli bir parçası olmasına rağmen, hangi dosyaların şüpheli olduğunu bilmenin hâlâ kullanıcının ilk savunma hattı olduğunu gösteriyor.
