Seite 2: ZIP, ZIP, hurr...aaaaah!

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Les- und Entpackbarkeit des ZIP-Formats von hinten nach vorn macht es clever mit Dateiformaten kombinierbar, die anhand eines Headers am Dateianfang identifiziert und vereinfacht gesagt "von vorn gelesen" werden. Praktischen Nutzen hat das Anbauen eines ZIPs an ein anderes Format, etwa im Kontext ausführbarer Installationsdateien, die zusätzliche Inhalte zur Laufzeit platzsparend aus dem Archiv extrahieren.

Bösewichte können diese Besonderheit der ZIP-Struktur aber auch missbrauchen, um schädliche Inhalte zu verstecken – so wie in einer recht aktuellen Malware-Kampagne. Die baut zwei ZIP-Dateien aneinander, wie es unter Windows etwa per copy /b und unter Linux mit cat leicht zu bewerkstelligen ist.

Wie ein Forscherteam im Blog der Firma Perception Point erläuterte, flattert das Ergebnis dieser Operation dann als Anhang einer Phishing-Mail in Posteingänge. Das zusammengesetzte Archiv nutzt dabei die Endung ".rar". Von gängigen Packprogrammen wird dies nicht bemängelt, obgleich das RAR- mit dem ZIP-Format technisch nichts zu tun hat. Sie beherrschen beides und verlassen sich nicht auf Dateiendungen.

Allerdings reagieren nicht alle Programme gleich auf diese Manipulationen. Die Forscher untersuchten den zusammengesetzten Anhang mit den verbreiteten (Ent-)Packprogrammen 7-Zip, WinRAR und dem Windows-Dateiexplorer. Dabei stellten sie fest, dass ersteres lediglich den Inhalt des "vorderen" ZIPs – ein harmloses, zur Phishing-Masche passendes PDF – erkannte und auspackte. Die beiden letzteren enthüllten stattdessen einen gefährlichen Trojaner im zweiten ZIP.

Ursache ist einmal mehr eine Ungenauigkeit der Spezifikation: Gemäß der darf jedes ZIP nur ein einziges Central Directory beinhalten. Wie man das aber findet, lässt sie offen. Weil die Parser-Komponenten der Packprogramme bei dieser Suche unterschiedlich vorgehen, werden sie im konkatenierten ZIP an unterschiedlicher Stelle fündig – und entpacken in der Konsequenz auch unterschiedliche Inhalte.

Die Malware-Autoren wissen um die Tatsache, dass AV-Scanner häufig quelloffene Programmbibliotheken wie die des 7-Zip-Projekts für das ZIP-Handling nutzen. Mittels speziell zugeschnittener Angriffe können Sie die Schadcode-Erkennung also umgehen – und erreichen zielsicher die Opfer der Kampagne, die beim Öffnen wiederum eher auf Bordmittel oder (gerade angesichts der .rar-Endung) auf WinRAR zurückgreifen.

Hinterrücks angegriffen – nicht zum ersten Mal

Der aktuelle Phishing-Feldzug wird mit Sicherheit nicht der letzte dieser Art sein. Denn die Vorgehensweise von 7-Zip beim Parsen ist, wie die Entwickler des Programms gegenüber Perception Point bestätigten, eben kein Bug, sondern dessen beabsichtigte Funktionsweise, an der etwas zu ändern kein Anlass besteht.

Dabei sind Angriffe per angebautem ZIP schon seit Jahrzehnten bekannt. Auf ein recht großes Medienecho stieß eine Variante, die Sicherheitsforscher 2008 im Rahmen eines Proof-of-Concept-Angriffs namens GIFAR präsentierten. Anders als bei der aktuellen Kampagne wurden hier nicht zwei ZIPs konkateniert: Das Kofferwort GIFAR ergibt sich aus der Kombination eines GIF-Bildes mit einer ihm angehängten Java Archiv-Datei (.jar). Wie schon erwähnt, handelt es sich bei letzterer im Grunde um ein ZIP-Archiv – üblicherweise aufgestockt um eine sogenannte Manifest-Datei mit Informationen zum Inhalt. Das von den Forschern erstellte JAR-File enthielt ein Java-Applet zur Ausführung im Browser.

Die aus GIF und JAR zusammengebaute Datei wäre, eingebettet in eine Website, Betrachtern als normales Bild angezeigt worden. Im Hintergrund allerdings hätte die Java-VM des Browsers den verborgenen Applet-Schadcode ausführen können. Die konkrete Angriffsidee des Forscherteams war es, derlei Bilder auf Social Media-Profilen zu platzieren und dorthin gelockten, im sozialen Netzwerk angemeldeten Opfern heimlich Nutzerdaten abzuluchsen.

Mittlerweile ist die Java-Unterstützung gängiger Browser aufgrund massiver Sicherheitsrisiken Geschichte. Doch die grundsätzliche Idee des Aneinanderbauens von ZIP- und anderen Dateitypen lässt Angreifern weiterhin viel Raum für neue Angriffsideen.