Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 21 Ноября 2025 - 12:53

Windows Ботнет Домашние пользователи Корпорации Лаборатория Касперского

Боты Tsundere приходят под видом шутера и прячут C2 в сети Ethereum

Этим летом эксперты «Лаборатории Касперского» обнаружили новый ботнет и нарекли его Tsundere (имя значилось на странице входа в панель управления). Как оказалось, лежащий в его основе Windows-зловред полагается на Node.js и блокчейн-технологии.

Способ распространения Tsundere доподлинно неизвестен. В одном из случаев злоумышленники использовали легитимный RMM-инструмент для загрузки поддельного установщика Windows (pdf.msi) с взломанного сайта.

Имена некоторых семплов — valorant, r6x (Rainbow Six Siege X), and cs2 (Counter-Strike 2) — свидетельствуют о возможности раздачи вредоноса под видом пиратских копий популярных игр для Windows.

Загруженный MSI-файл развертывает в зараженной системе Node.js и запускает скрипт, который расшифровывает (AES-256 CBC) и инициирует исполнение основной полезной нагрузки. Для подготовки рабочей среды и обеспечения персистентности этот загрузчик, используя команду npm install, скачивает легитимные пакеты ws (связь через WebSocket), ethers (взаимодействие с блокчейном) и pm2 (управление процессами Node.js).

Анализ C2-панели Tsundere (на тот момент позволяла контролировать от 90 до 115 ботов) показал, что в качестве лоадера также может использоваться скрипт PowerShell, выполняющий те же действия, что и фейковый MSI, кроме использования pm2; библиотеки ws и ethers при этом подключаются как зависимости.

Обмен с C2-сервером осуществляется через WebSocket; его адрес боты отыскивают, используя блокчейн Ethereum. Подобный порядок обеспечивает ротацию инфраструктуры: авторы атак просто создают новый смарт-контракт.

После извлечения C2-адреса бот Tsundere проверяет прописку зараженного компьютера и, если это не одна из стран СНГ, устанавливает WebSocket-соединение для получения команд и JavaScript-кодов, подлежащих выполнению. К сожалению, в ходе тестирования выявить дальнейшее развитие атаки не удалось.

Очевидный запрет на использование Tsundere против жителей СНГ и наличие русскоязычных слов в его исходниках свидетельствуют о том, что разработчик нового зловреда может базироваться в этом регионе.

В пользу этой гипотезы также говорит тот факт, что C2-панели нового ботнета размещены на сервере, используемом как центр управления 123 Stealer — написанного на C++ коммерческого трояна, который тоже обходит стороной Россию и другие страны СНГ.

Индикаторы компрометации:

Хеш-суммы файлов:

235A93C7A4B79135E4D3C220F9313421
 760B026EDFE2546798CDC136D0A33834
 7E70530BE2BFFCFADEC74DE6DC282357
 5CC5381A1B4AC275D221ECC57B85F7C3
 AD885646DAEE05159902F32499713008
 A7ED440BB7114FAD21ABFA2D4E3790A0
 7CF2FD60B6368FBAC5517787AB798EA2
 E64527A9FF2CAF0C2D90E2238262B59A
 31231FD3F3A88A27B37EC9A23E92EBBC
 FFBDE4340FC156089F968A3BD5AA7A57
 E7AF0705BA1EE2B6FBF5E619C3B2747E
 BFD7642671A5788722D74D62D8647DF9
 8D504BA5A434F392CC05EBE0ED42B586
 87CE512032A5D1422399566ECE5E24CF
 B06845C9586DCC27EDBE387EAAE8853F
 DB06453806DACAFDC7135F3B0DEA4A8F

Путь к файлам:

%APPDATA%\Local\NodeJS

Домены и IP-адреса:

ws://185.28.119[.]179:1234
 ws://196.251.72[.]192:1234
 ws://103.246.145[.]201:1234
 ws://193.24.123[.]68:3011
 ws://62.60.226[.]179:3001

Криптовалютные кошельки:

0x73625B6cdFECC81A4899D221C732E1f73e504a32
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
 0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
 0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC

Примечание. Эти кошельки изменяли адрес командного сервера в смарт-контракте.