Как скрыть вирус в архиве ZIP и RAR

Скрыть вирус в архиве ZIP RAR

Злоумышленники  и этичные хакеры (при пентестах) часто используют хитроумные методы для доставки вируса и заражения целевой системы. Один из распространенных способов — это маскировка вируса внутри архива, например ZIP или RAR. В этой статье я покажу, как правильно скрыть вирус с расширением файла .exe в архиве RAR.

Еще по теме: Где скачать вирусы

Техники сокрытия вирусов в архивах

Существует несколько распространенных методов, которые хакеры используют для скрытия вирусов в архивах:

  • Переименование файлов и изменение расширения: Хакеры могут изменить расширение файла, скрыв вирус под видом документа, изображения или архива.
  • Использование паролей: Упакованный архив может быть защищен паролем. Это может затруднить анализаторов в обнаружении вируса, так как доступ к содержимому архива ограничен.
  • Использование скрытых файлов: Хакеры могут спрятать вирус внутри скрытых файлов или папок в архиве. Это делает его менее заметным для пользователя и антивирусных программ.

Далее рассмотрим способ сокрытия расширения вируса.

Статья в образовательных целях и предназначается для обучения этичных хакеров. Использование представленной информации для атак на частных лиц или организации без их предварительного согласия является незаконным. При участии в пентесте необходимо действовать этично и соблюдать установленные правила. Несанкционированный взлом является незаконным и рассматривается как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.

Как скрыть вирус в архиве ZIP и RAR

Это история реального пентеста для одно крупной компании. Вот так мы пря­тали нас­тоящее рас­ширение фай­ла в архи­ве.

Отоб­ражение EXE фай­ла в архи­ве с пробелами
Отоб­ражение EXE-фай­ла с про­белами в архи­ве

Поль­зовате­ли реаль­но не понима­ли, что перед ними .exe, а не .pdf.

Дела­ется это так. В фай­ле Book.pdf.exe пос­ле pdf мно­гок­ратно встав­лен «сред­ний матема­тичес­кий про­бел» в Unicode.

Вирус архив RAR ZIP
Опи­сание сред­него матема­тичес­кого про­бела

В такое наз­вание фай­ла уда­лось вста­вить око­ло 280 про­белов. Поэто­му если у поль­зовате­ля окно прос­мотра наз­вания фай­ла раз­дви­нуто впра­во, то он уви­дит .exe, но так быва­ет нечас­то.

Скрыть вирус архи­в ZIP RAR
Рас­ширен­ное отоб­ражение поля име­ни фай­ла в архи­ве

Ес­ли вста­вить мно­го обыч­ных про­белов, то замас­кировать нас­тоящее рас­ширение фай­ла это не очень поможет.

Скрыть расширение вируса в архиве
Отоб­ражение дей­стви­тель­ного рас­ширения фай­ла

Опять же это моветон — отправ­лять .exe в архи­ве, что лег­ко обна­ружи­вает­ся защит­ными сис­темами. Но, во‑пер­вых, не у всех уста­нов­лены такие сис­темы, во‑вто­рых, я прос­то люб­лю все клас­сифици­ровать, что­бы мак­симум информа­ции по теме было в одном раз­деле, даже если какие‑то трю­ки не работа­ют в орга­низа­циях, заботя­щих­ся о защите информа­ции.

Ког­да человек пытал­ся запус­тить получен­ный от нас EXE-файл на Linux и писал нам, что ему не уда­ется открыть файл, мы ему «помога­ли» и отправ­ляли дру­гую наг­рузку. Мож­но с уве­рен­ностью ска­зать, что тех­нологии защиты лишь сни­жают рис­ки и плю­сом к ним нуж­но вкла­дывать­ся в навыки кибер­безопас­ности людей.

Редко используемые разрешения

От­прав­ляя архи­вы, про­буйте раз­ные рас­ширения помимо стан­дар­тных .rar и .zip. Пытай­ся обой­ти сис­тему защиты (тех­ничес­кую и челове­чес­кую) с помощью .cab, .z и дру­гих.

В 2020 году по Рос­сии про­кати­лись рас­сылки с мал­варью, запако­ван­ной в архи­вы с рас­ширени­ем .001, и кто‑то был явно не готов к таким ата­кам и не бло­киро­вал подоб­ные архи­вы на поч­товом сер­вере. Про­верьте, может, они не бло­киру­ют и z-архи­вы.

Защита от вирусов в архивах ZIP и RAR

Для того чтобы защитить свою систему от вирусов, скрытных в архивах, важно соблюдать следующие меры предосторожности:

  • Регулярно обновляйте и используйте надежное антивирусное ПО.
  • Не открывайте архивы или файлы из ненадежных и неизвестных источников.
  • Перед открытием архивов и файлов проверяйте их на онлайн-сервисах для проверки на вирусы.
  • Открывайте архивы в развернутом окне, а еще лучше не запускайте архив, а просто извлекайте содержимое через контекстное меню Windows.
  • Не открывайте файлы, для которых требуется пароль, если вы не уверены в их происхождении.
  • Для открытия подозрительных файлов используйте виртуальную машину.

Соблюдая эти простые правила, можно значительно снизить риск заражения вредоносным ПО и обезопасить свой компьютер.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий