“No hay historia, sin al menos dos versiones, significa que alguien siempre miente”. En primer lugar y fundamental. Segundo, igual que no todo policía es honrado; no todos son corruptos. Y último, el comportamiento corrupto de uno, implica que debe haber más.American Ganster
La nueva técnica «Zombie ZIP» permite que el malware eluda las herramientas de seguridad
Una nueva técnica denominada “Zombie ZIP” ayuda a ocultar cargas útiles en archivos comprimidos creados especialmente para evitar ser detectados por soluciones de seguridad como antivirus y productos de detección y respuesta de puntos finales (EDR).
Intentar extraer los archivos con utilidades estándar como WinRAR o 7-Zip genera errores o datos corruptos. Esta técnica funciona manipulando los encabezados ZIP para engañar a los motores de análisis y que traten los datos comprimidos como si no estuvieran comprimidos.
En lugar de marcar el archivo como potencialmente peligroso, las herramientas de seguridad confían en el encabezado y escanean el archivo como si fuera una copia del original en un contenedor ZIP.
La técnica “Zombie ZIP” fue ideada por el investigador de seguridad de Bombadil Systems, Chris Aziz, quien descubrió que funciona contra 50 de los 51 motores AV de VirusTotal.
Los motores antivirus confían en el campo Método ZIP. Cuando Método=0 (ALMACENADO), escanean los datos como bytes sin comprimir. Pero, en realidad, los datos están comprimidos con DEFLATE, por lo que el escáner detecta ruido comprimido y no encuentra firmas, explica el investigador (https://github.com/bombadil-systems/zombie-zip).
Un actor de amenazas puede crear un cargador que ignore el encabezado y trate el archivo como lo que es: datos comprimidos utilizando el algoritmo Deflate estándar utilizado en los archivos ZIP modernos.
El investigador ha publicado una prueba de concepto (PoC) en GitHub, compartiendo archivos de muestra y detalles adicionales sobre cómo funciona el método.
Para que las herramientas de extracción más populares (por ejemplo, 7-Zip, unzip, WinRAR) generen un error, el investigador dice que el valor CRC que garantiza la integridad de los datos debe establecerse en la suma de comprobación de la carga útil sin comprimir.
“Sin embargo, un cargador especialmente diseñado que ignora el método declarado y descomprime como DEFLATE recupera la carga útil perfectamente”, dice Aziz.
El Centro de Coordinación CERT (CERT/CC) publicó un boletín (https://kb.cert.org/vuls/id/976247) para advertir sobre los “ZIP zombi” y crear conciencia sobre los riesgos que plantean los archivos malformados.
Si bien un encabezado malformado puede engañar a las soluciones de seguridad, la agencia dice que algunas herramientas de extracción aún pueden descomprimir correctamente el archivo ZIP.
Se ha asignado el identificador CVE-2026-0866 al problema de seguridad, que según la agencia es similar a una vulnerabilidad revelada hace más de dos décadas, CVE-2004-0935, que afecta a una versión anterior del producto antivirus ESET.
CERT/CC propone que los proveedores de herramientas de seguridad validen los campos del método de compresión con datos reales, agreguen mecanismos para detectar inconsistencias en la estructura del archivo e implementen modos de inspección de archivo más agresivos.
Los usuarios deben tratar los archivos comprimidos con precaución, especialmente aquellos de contactos desconocidos, y eliminarlos inmediatamente si sus intentos de descomprimirlos terminan con un error de "método no compatible".
Por Bill Toulas
Fuente: https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/
Que te diviertas!
Una nueva técnica denominada “Zombie ZIP” ayuda a ocultar cargas útiles en archivos comprimidos creados especialmente para evitar ser detectados por soluciones de seguridad como antivirus y productos de detección y respuesta de puntos finales (EDR).
Intentar extraer los archivos con utilidades estándar como WinRAR o 7-Zip genera errores o datos corruptos. Esta técnica funciona manipulando los encabezados ZIP para engañar a los motores de análisis y que traten los datos comprimidos como si no estuvieran comprimidos.
En lugar de marcar el archivo como potencialmente peligroso, las herramientas de seguridad confían en el encabezado y escanean el archivo como si fuera una copia del original en un contenedor ZIP.
La técnica “Zombie ZIP” fue ideada por el investigador de seguridad de Bombadil Systems, Chris Aziz, quien descubrió que funciona contra 50 de los 51 motores AV de VirusTotal.
Los motores antivirus confían en el campo Método ZIP. Cuando Método=0 (ALMACENADO), escanean los datos como bytes sin comprimir. Pero, en realidad, los datos están comprimidos con DEFLATE, por lo que el escáner detecta ruido comprimido y no encuentra firmas, explica el investigador (https://github.com/bombadil-systems/zombie-zip).
Un actor de amenazas puede crear un cargador que ignore el encabezado y trate el archivo como lo que es: datos comprimidos utilizando el algoritmo Deflate estándar utilizado en los archivos ZIP modernos.
El investigador ha publicado una prueba de concepto (PoC) en GitHub, compartiendo archivos de muestra y detalles adicionales sobre cómo funciona el método.
Para que las herramientas de extracción más populares (por ejemplo, 7-Zip, unzip, WinRAR) generen un error, el investigador dice que el valor CRC que garantiza la integridad de los datos debe establecerse en la suma de comprobación de la carga útil sin comprimir.
“Sin embargo, un cargador especialmente diseñado que ignora el método declarado y descomprime como DEFLATE recupera la carga útil perfectamente”, dice Aziz.
El Centro de Coordinación CERT (CERT/CC) publicó un boletín (https://kb.cert.org/vuls/id/976247) para advertir sobre los “ZIP zombi” y crear conciencia sobre los riesgos que plantean los archivos malformados.
Si bien un encabezado malformado puede engañar a las soluciones de seguridad, la agencia dice que algunas herramientas de extracción aún pueden descomprimir correctamente el archivo ZIP.
Se ha asignado el identificador CVE-2026-0866 al problema de seguridad, que según la agencia es similar a una vulnerabilidad revelada hace más de dos décadas, CVE-2004-0935, que afecta a una versión anterior del producto antivirus ESET.
CERT/CC propone que los proveedores de herramientas de seguridad validen los campos del método de compresión con datos reales, agreguen mecanismos para detectar inconsistencias en la estructura del archivo e implementen modos de inspección de archivo más agresivos.
Los usuarios deben tratar los archivos comprimidos con precaución, especialmente aquellos de contactos desconocidos, y eliminarlos inmediatamente si sus intentos de descomprimirlos terminan con un error de "método no compatible".
Por Bill Toulas
Fuente: https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/
Que te diviertas!
Entradas
No hay comentarios:
Publicar un comentario