برزت تنسيقات ملفات الأرشيف مثل ZIP و RAR كواحدة من أكثر الأدوات انتشارًا لإيصال البرمجيات الخبيثة، مما يوفر لمجرمي الإنترنت طريقة موثوقة وفعالة لتوزيع الحمولات الخبيثة. ووفقًا لأبحاث التهديدات التي أجرتها HP Wolf Security، في الربع الثاني من عام 2024 وحده، شكّلت ملفات الأرشيف 39% من جميع طرق توصيل البرمجيات الخبيثة، مما يجعلها الخيار الأول للمهاجمين. من خلال تضمين البرامج النصية الضارة أو الملفات التنفيذية أو محتوى التصيد الاحتيالي داخل أرشيفات تبدو غير ضارة، يستغل القراصنة الثقة والألفة المرتبطة بهذه التنسيقات.
تسمح التقنيات المتطورة مثل الاستفادة من البنية المعيارية لصيغة ZIP، والتلاعب برؤوس الملفات، وتوصيل ملفات الأرشيفات بتسلسلها للمهاجمين بتجاوز أنظمة الكشف وتنفيذ حمولاتهم دون أن يتم اكتشافها. إن اعتماد هذه التنسيقات على نطاق واسع، إلى جانب قدرتها على التهرب من التدابير الأمنية التقليدية، يؤكد على دورها كتهديد كبير ومتطور. في هذه المدونة، سنناقش الآليات التقنية الكامنة وراء تقنيات الهجوم هذه، ونحلل فعاليتها، ونقدم خطوات عملية لاكتشاف هذه التهديدات القائمة على الأرشيفات ومنعها.
السيناريو 1 - أرشفة تسلسل ملفات الأرشيف
تكمن براعة تسلسل ملفات الأرشيف المراوغة في قدرتها على دمج ملفات أرشيف متعددة بذكاء بطريقة تتجاوز طرق أو قيود الكشف التقليدية، مع الحفاظ على وظائف البيانات وإمكانية الوصول إليها. وغالبًا ما يتم استخدام هذه التقنية في سيناريوهات مبتكرة أو غير تقليدية، مثل التحايل على حدود حجم الملفات، أو تشويش المحتوى، أو تحسين تخزين البيانات بطرق فريدة.
تنبع فعالية تكتيك التهرب هذا من السلوكيات المختلفة لأدوات تحليل ZIP المختلفة عند التعامل مع الملفات المتسلسلة:
- 7-Zip: يقوم بتحليل أرشيف ZIP الأول فقط، والذي قد يكون حميدًا، مما قد يؤدي إلى التغاضي عن الحمولة الخبيثة المضمنة في الأرشيفات اللاحقة.
- WinRAR: يعالج ويعرض الجزء الأخير فقط من تراكيب ZIP.
- مستكشف ملفات ويندوز: قد يفشل في فتح الملف المتسلسل بالكامل. ومع ذلك، إذا تمت إعادة تسمية الملف بامتداد .RAR، فقد يؤدي ذلك إلى عرض أرشيف ZIP الثاني فقط، مع حذف الأول.
يمكّن هذا التناقض في معالجة ملفات ZIP المتسلسلة المهاجمين من التهرب من آليات الكشف عن طريق تضمين حمولات خبيثة داخل أجزاء من الأرشيف لا تستطيع بعض محللات ZIP الوصول إليها أو غير مصممة للوصول إليها.
السيناريو 2 - ملفات الأرشيف المضللة
مايكروسوفت أوفيس كأرشيف
عندما يفكر معظم الناس في الأرشيفات، فإنهم يفكرون على الفور في ملفات ZIP أو RAR أو ربما ملفات TAR. وعلى الرغم من أن هذه تنسيقات أرشيف شائعة بالفعل، إلا أنها لا تمثل سوى جزء بسيط من الاحتمالات. فالعديد من تنسيقات الملفات الحديثة تستفيد من هياكل الأرشيف في تطبيقاتها الأساسية، وغالبًا ما يكون ذلك بطرق غير واضحة على الفور.
على سبيل المثال، تستخدم ملفات Microsoft Office 2007 (.docx و .xlsx و .pptx) هياكل الأرشيف. يستغل المهاجمون هذا الأمر عن طريق صياغة ملفات .pptx التي تبدو وكأنها عروض تقديمية قياسية لبرنامج PowerPoint ولكنها في الأساس عبارة عن أرشيفات ZIP (تبدأ بالتوقيع 50 4B 03 04). يقوم المهاجم بتضمين حمولة خبيثة متخفية كملف XML شرعي أو صورة مضمنة داخل الأرشيف.
وغالبًا ما تغفل أدوات الأمان هذا التهديد لأنها تتعامل مع الملف كملف .pptx بناءً على امتداده وهيكله، بدلًا من تحليل أرشيف ZIP الأساسي. بينما يمكن لأدوات مثل WinRAR أو 7-Zip الكشف عن محتويات الملف، بينما تركز أدوات مثل WinRAR أو 7-Zip على نوع الملف، متجاهلةً الحمولة المخفية.
يمكن للمهاجمين التهرب من الكشف عن طريق تغيير البنية الداخلية لأرشيف ZIP، مثل استخدام أسماء ملفات غير قياسية أو إخفاء الحمولة في مواقع غامضة. ويستفيد هذا التكتيك من مرونة ZIP، مما يسمح له بتعريف أنواع ملفات مخصصة مثل .pptx مع الاحتفاظ بنفس التوقيع.
DWF كملف ZIP
بنية ملف ZIP هو تنسيق واسع الاستخدام تستفيد منه بعض أنواع الملفات لإنشاء تنسيقات فريدة من نوعها، حيث يتم دمج جزء من رأس ملف ZIP في تصميمها. على سبيل المثال، يحتوي ملف DWF القياسي على رأس (28 44 57 57 46 20 56 56 30 36 36 2e 30 30 30 29) متبوعًا بتوقيع ملف ZIP [50 4B 03 04) يجمع بينهما في بنية ملف واحد. عادةً ما تقوم أدوات الأمان مثل 7-Zip باستخراج ملفات ZIP من خلال التعرف على رأس الملف [50 4B 03 04). ومع ذلك، في حالة ملف DWF، فإن هذه الأدوات تتعامل معه كملف غير أرشيفي ولا تحاول استخراج محتوياته.
يستغل المهاجمون هذا السلوك من خلال صياغة ملفات خبيثة تبدأ برأس غير ZIP (مثل رأس DWF) متبوعًا بتوقيع ZIP وحمولة مخفية. عندما يتم فتح مثل هذا الملف في عارض DWF، يقوم البرنامج بمعالجته كمستند شرعي، متجاهلاً بيانات ZIP الملحقة ومتركاً الحمولة غير نشطة. ومع ذلك، إذا تمت معالجة الملف نفسه بواسطة أداة استخراج الأرشيف، فإن الأداة تتعرف على توقيع ZIP وتستخرج الحمولة وتنفذها. تفشل العديد من أدوات الفحص الأمني وأدوات الاستخراج في اكتشاف مثل هذه الأرشيفات المقنعة لأنها تعتمد على رأس الملف الأولي لتحديد تنسيقه.
هذه التقنية فعالة للغاية لأنها تستغل قيدا متأصلا في كيفية معالجة العديد من الأدوات لرؤوس الملفات. قد تسمح أدوات الأمن التي لا تجري عمليات فحص عميقة أو تفحص ما بعد الرأس الأولي للأرشيف الخبيث بالتسلل عبر الدفاعات دون اكتشافه.
استخراج الأرشيفات وفحصها بشكل متكرر باستخدام منصة OPSWAT MetaDefender
تعتمد البيئات المؤسسية الحديثة على مجموعة متنوعة من الأدوات - مثل برامج مكافحة الفيروسات وجدران الحماية وأنظمة EDR (الكشف عن نقاط النهاية والاستجابة لها) - لاكتشاف البرمجيات الخبيثة ومنعها من اختراق بنيتها التحتية الحيوية. ومع ذلك، غالباً ما تنطوي هذه التدابير الوقائية على نقاط ضعف تستغلها الجهات التخريبية بانتظام. ولتحديد هذه التكتيكات المراوغة ومواجهتها بفعالية، دعنا نلقي نظرة فاحصة على كيفية قياممنصة OPSWAT MetaDefender Platform بتهيئة محركاتها الأساسية بمرونة بما في ذلك MetaScan™ Multiscanning واستخراج الأرشيف، وDDR™ Deep CDR™ لتأمين أنظمتك.
الكشف عن التهديدات في السيناريو 1 باستخدام استخراج الأرشيف القياسي
لإثبات تقنية هجوم تسلسل الأرشيف، نقوم أولاً بإرسال ملف ZIP كأرشيف عادي ونسمح لمحركات مكافحة الفيروسات (AV) بالتعامل مع استخراج ZIP وفحص البرمجيات الخبيثة. تمكن 16 محركاً فقط من أصل 34 محركاً من محركات AV من اكتشاف البرمجيات الخبيثة.
بعد ذلك، نضيف طبقة واحدة من التعقيد إلى ملف الأرشيف العادي.
لم يكتشف البرمجيات الخبيثة سوى 11 محركاً من أصل 34 محركاً من محركات AV. يتعامل MetaScan مع هذه الحالة بفعالية.
وأخيراً، نضيف طبقة أخرى إلى ملف ZIP العادي.
هذه المرة، لم يكتشف البرمجية الخبيثة سوى 7 محركات من أصل 34 محركًا من محركات مكافحة الفيروسات التي اكتشفتها سابقًا، وفشلت الآن المحركات الأربعة التي اكتشفتها سابقًا في اكتشافها.
اختبرناه أيضًا باستخدام أداة خارجية لاستخراج الأرشيف. إلا أن الأداة تتحقق فقط من الجزأين الأول والأخير من ملف الأرشيف، ولا يوجد القسم الأوسط حيث يتم تخزين ملف البرمجيات الخبيثة.
الكشف عن تهديدات السيناريو 1 باستخدام محرك استخراج أرشيف OPSWAT
يقوم محرك استخراج الأرشيف باستخراج ملف ZIP بالكامل، مما يمكّن محركات AV من فحص الملفات المتداخلة.
تظهر نتيجة الفحص لهذه الملفات المتداخلة أدناه:
بالإضافة إلى ذلك، عندما يتم تمكين Deep CDR فإنه ينشئ ملفًا جديدًا بدون المحتوى الخبيث، كما هو موضح أدناه:
الكشف عن تهديدات السيناريو 2 بدون محرك استخراج الأرشيف
نقوم أولاً بتحميل ملف يستفيد من التقنيات المستخدمة في السيناريو 2 إلى MetaDefender Core. يتم فحص الملف باستخدام MetaScan بحثًا عن البرمجيات الخبيثة المحتملة. النتائج كالتالي:
يمكن لمحركين فقط من أصل 12 محركًا من محركات مكافحة الفيروسات الشائعة في MetaScan اكتشاف البرمجيات الخبيثة. وهذا يعني أن عددًا كبيرًا من المؤسسات قد يكون عرضة للهجمات التي تستغل تعقيدات تنسيق الأرشيف هذه.
الكشف عن تهديدات السيناريو 2 باستخدام محرك استخراج أرشيف OPSWAT
5 من أصل 12 محركًا من محركات AV الشائعة تكتشف التهديد داخل ملف .dwf.
يقوم محرك استخراج الأرشيف باستخراج الملف وتحليل ملفاته المتداخلة.
تم فحص جميع الملفات المتداخلة المستخرجة مرة أخرى باستخدام MetaScan، حيث اكتشف 9 من أصل 12 محركًا من محركات AV التهديد.
نبذة عن تقنيات OPSWAT Core
MultiscanningMetaScan™
MetaScan Multiscanning هي تقنية متقدمة للكشف عن التهديدات والوقاية منها تعمل على زيادة معدلات الكشف، وتقلل من أوقات اكتشاف الفاشيات، وتوفر مرونة لحلول مكافحة البرامج الضارة ذات البائع الواحد. يمكن لمحرك مكافحة فيروسات واحد اكتشاف 40%-80% من البرمجيات الخبيثة. تسمح لك OPSWAT Multiscanning بفحص الملفات باستخدام أكثر من 30 محركًا لمكافحة البرمجيات الخبيثة في مكان العمل وفي السحابة لتحقيق معدلات اكتشاف أكبر من 99%.
فك ضغط الأرشيفات
قد يكون من الصعب اكتشاف التهديدات في الملفات المضغوطة، مثل .ZIP أو .RAR، بسبب حجم الملف الكبير وقدرته على إخفاء التهديدات المخفية في الأرشيفات. يوفر MetaDefender معالجة سريعة للأرشيفات من خلال السماح للمسؤولين بإجراء معالجة الأرشيف مرة واحدة لكل نوع ملف، بدلاً من مطالبة كل محرك مكافحة برمجيات خبيثة على حدة باستخدام طرق معالجة الأرشيف الخاصة به. بالإضافة إلى ذلك، يمكن للمسؤولين تخصيص الطريقة التي يتم بها فحص الأرشيف لتجنب التهديدات مثل القنابل المضغوطة.
Deep CDR™
تفوت حلول مكافحة الفيروسات التقليدية التهديدات غير المعروفة. يقوم Deep CDR بإزالتها بالكامل. يتم نزع سلاح كل ملف وإعادة إنشائه، مما يضمن وصول المحتوى الآمن والنظيف والقابل للاستخدام فقط إلى أنظمتك. من خلال التركيز على الوقاية بدلاً من الاكتشاف فقط، يعمل Deep CDR على تعزيز دفاعات مكافحة البرمجيات الخبيثة، وحماية المؤسسات من الهجمات القائمة على الملفات، بما في ذلك التهديدات المستهدفة. فهو يقوم بتحييد الكائنات الضارة المحتملة في الملفات التي تعبر حركة مرور الشبكة، والبريد الإلكتروني، وعمليات التحميل والتنزيل والوسائط المحمولة قبل أن تصل إلى شبكتك.
الكشف عن التهديدات المراوغة باستخدام استخراج أرشيف OPSWAT
تزداد مرونة الجهات التخريبية في أساليبها لاختراق الأنظمة واستخراج المعلومات الحساسة. ومن خلال الاستفادة من الأدوات المناسبة لاكتشاف الاختراقات والتخفيف من حدتها، يمكن للمؤسسات منع هؤلاء الخصوم من الوصول إلى البيانات الهامة والتحرك أفقياً داخل الشبكة. من خلال الاستفادة من محرك استخراج الأرشيف القوي في MetaDefender Core يمكنك تعزيز دفاعاتك ضد البرمجيات الخبيثة المضمنة التي قد تتفادى أدوات استخراج محرك AV الفردية.
OPSWAT MetaDefender Core
يدمج إمكانات متقدمة لمنع البرمجيات الخبيثة واكتشافها في حلول تكنولوجيا المعلومات والبنية التحتية الحالية لديك من أجل التعامل بشكل أفضل مع ناقلات الهجمات الشائعة من خلال تأمين بوابات الويب من هجمات تحميل الملفات الخبيثة، وزيادة منتجات الأمن السيبراني، وتطوير أنظمة تحليل البرمجيات الخبيثة الخاصة بك.
OPSWAT MetaDefender Core
يدمج إمكانات متقدمة لمنع البرمجيات الخبيثة واكتشافها في حلول تكنولوجيا المعلومات والبنية التحتية الحالية لديك من أجل التعامل بشكل أفضل مع ناقلات الهجمات الشائعة من خلال تأمين بوابات الويب من هجمات تحميل الملفات الخبيثة، وزيادة منتجات الأمن السيبراني، وتطوير أنظمة تحليل البرمجيات الخبيثة الخاصة بك.
