Mithilfe sogenannter Zombie-ZIPs lassen sich fast alle Virenscanner austricksen.
Pressmaster | shutterstock.com
Eine neue Technik mit dem Namen „Zombie ZIP“ ist in der Lage, Payloads in komprimierten Dateien zu verbergen. Sicherheitslösungen wie Antiviren- und EDR-Produkte (Endpoint Detection and Response) können sie nicht entdecken, denn die digitalen Untoten wurden speziell geschaffen, um die Security zu umgehen. Entwickelt wurden sie von Chris Aziz, einem Sicherheitsforscher beim Security-Consulting-Unternehmen Bombadil Systems.
Header täuschen Software
Das Ganze läuft wie folgt ab, so Aziz: Werden die Dateien mit Standardprogrammen wie WinRAR oder 7-Zip extrahiert, kommt es zu Fehlermeldungen oder korrumpierten Daten. Grund ist, dass die ZIP-Header so manipuliert sind, dass sie die entsprechenden Programme täuschen. Sie sorgen dafür, dass komprimierte Daten als unkomprimiert behandeln werden.
Anstatt das Archiv als potenziell gefährlich zu kennzeichnen, vertrauen Sicherheits-Tools dem Header und scannen die Datei, als wäre sie eine Kopie des Originals in einem ZIP-Container. Konkret sollen sich laut Aziz 50 der 51 Antivirenprogramme, darunter auch der Microsoft Defender, ausgetricken lassen.
