Mimo malejącej popularności WinRAR nadal zainstalowany jest na wielu komputerach. Niestety sposób, w jaki interpretuje pliki ZIP sprawia, że z łatwością można umieścić w nich złośliwe oprogramowanie ukryte jako inne dane.
Kiedyś, gdy każdy bajt transferu miał wymierną cenę w postaci kolejnego impulsu połączenia na 0202122, popularne były wydajniejsze niż ZIP algorytmy kompresji. Na lidera alternatywnych formatów szybko wyrósł RAR, dzięki czemu jego klient WinRAR nadal bywa spotykany w wielu miejscach. Okazuje się jednak, że korzystanie z niektórych jego wersji do otwierania plików ZIP wiąże się z poważnym ryzykiem.
Jeden plik, dwie nazwy
Pewien izraelski badacz twierdzi że odkrył (choć raport o podobnym błędzie można znaleźć już w roku 2009), że gdy tworzymy archiwum ZIP za pomocą WinRARa, ten do standardowego formatu ZIP dodaje kilka swoich dodatkowych pól. Wśród nich umieszcza również nazwę skompresowanego pliku. Po co? To dobre pytanie, ponieważ przecież nazwa pliku znajduje się w standardowym nagłówku ZIP. Dopiero analiza specyfikacji formatu plików ZIP wskazuje, że to nie WinRAR tworzy dodatkowy nagłówek, a jest to częścią specyfikacji ZIP, która przewiduje zapisywanie nazwy pliku dwukrotnie dla celów zapewnienia redundancji.
Okazuje się, że WinRAR – przynajmniej w bardzo popularnej wersji 4.20 – różnie interpretuje obie nazwy skompresowanego pliku. Nazwę z nagłówka pliku stosuje, gdy trzeba plik uruchomić, natomiast nazwę z końca pliku pokazuje w trakcie podglądu zawartości archiwum. Taka niespodzianka.
Diabełek z pudełka
Co robimy, gdy dostajemy plik archiwum z niewinnie wyglądającym plikiem? Spora część nawet świadomych użytkowników może instynktownie kliknąć na plik w oknie WinRARa, by od razu go otworzyć. Tymczasem pod nazwą „ania.jpg” może kryć się plik „ania.exe”, który zostanie natychmiast wykonany.
Podgląd zmodyfikowanego pliku
Jeśli chcecie się przekonać, jak działa ta sztuczka, to tutaj znajdziecie przygotowany przez nas plik ania.zip. Ufacie nam na tyle, by próbować otworzyć jego zawartość? Pamiętajcie, by użyć do jego otwarcia WinRARa w wersji 4.20 – testowaliśmy również wersje 5.x i wygląda na to, że problem został tam poprawiony.
Jeśli chcecie pobawić się sami to wystarczy stworzyć archiwum ZIP i zmodyfikować drugie wystąpienie nazwy spakowanego pliku.
Atakujący już z tego korzystają
Jak donosi firma IntelCrawler opisywany powyżej błąd jest już wykorzystywany w atakach. Firmy oraz organizacje na całym świecie otrzymują wiadomości poczty elektronicznej z załączonym archiwum, zabezpieczonym hasłem, spreparowanym tak, by ukryć prawdziwą nazwę złośliwego pliku. W środku zawierają konia trojańskiego podobnego do Zeusa, z C&C w Turcji.
Jak uniknąć zagrożenia? W tym wypadku wystarczy nie korzystać z WinRARa do otwierania plików ZIP. Podobnych ataków można w dużej mierze uniknąć, nie otwierając załączników od nieznanych nadawców, a podejrzane pliki poddawać analizie przed ich uruchomieniem.
Jeśli interesują Was podobne tematy, to polecamy prezentację Gynvaela pt. 10 tysięcy pułapek ZIP, RAR etc.
Komentarze
Tak z ciekawości, co zts proponuje nam w ania.jpg/exe? Boję się trochę otwierać ;d
ania.jpg: mismatching „local” filename (calc.exe)
niestety brak cycków :)
To ja może się pobawię słowami, bo na FB już linka puściłem.
Lepiej nie używajcie WinRARa do otwierania plików ZIP,
używajcie 7zip-a do otwierania plików RAR.
8-)
Windows kalkulator :)
7zip (9.22b) widzi ania.jpg, po wypakowaniu dalej jest ania.jpg.
i zdziwiłbym się gdyby było inaczej, ale po kliknięciu ania.jpg w 7zip’ie widzi plik jako archiwum exe :) czulu po staremu, nic nowego, he he
WinRAR 3.93 @ Wine 1.7 – nie działa (plik ania.jpg), test archiwum też niczego nie wskazuje.
File Roller 3.4.1 – nie działa (plik ania.jpg), test spójności wykazuje warning:
ania.jpg: mismatching „local” filename (calc.exe),
continuing with „central” filename version
testing: ania.jpg OK
Próba otwarcia pliku ania.jpg: Błąd podczas interpretowania pliku obrazu JPEG (Not a JPEG file: starts with 0x4d 0x5a)
Trzeba usunąć rozszerzenie pliku aby to uruchomić pod Wine…
https://www.virustotal.com/pl/file/8c54d4bbfdca055d7b983c549da1ccea2c38589d6042304c93f8fec03f2f2fa7/analysis/1396018664/
Ad „Jeden plik, dwie nazwy”
Jest jeszcze zabawniej – w ZIP są 3+ miejsca gdzie może być nazwa pliku :)
Pisałem o tym tutaj: https://plus.google.com/+GynvaelColdwindEN/posts/jiENHaPjQdP (druga połowa posta)
(ten „+” przy 3 wynika z tego, że nazwa unicode to tzw „extra data”, które może wystąpić wielokrotnie zarówno w central directory jak i w local file header)
Potwierdzam że syf o nazwie iPack (płatna aplikacja pod OSX) w najnowszej wersji daje się oszukać.
Za to już The Archive Browser już nie :)
a jak wygląda z przesłaniem takiego pliku przez gmaila? czy on blokuje te fikcyjne nazwy czy te prawdziwe (pamiętajmy że gmail nie przepuszcza plików exe nawet w zipach)
Blokowany.
Może zamiast „NIE UŻYWAĆ WINRAR” wystarczy po prostu mieć jego najnowszą wersję? Opisywany problem dotyczy starej wersji WinRar’a. Bitch, please to na takiej samej zasadzie nie aktualizwany Windows stanowi zagrożenie.
Nie wiem czy zauważyłeś ale podałem nowy bo z LUTEGO 2014 soft do rozpakowywania plików pod OSX, który komentarzach jak i ogólnej ocenie jest wysoko oceniany.
Ciekawie w temacie było tutaj – http://youtu.be/BsFqI8BZ-U0
„niemiecki” właściciel WinRAR-a to specyficzni ludzie, nie darują nikomu kto ma piracką wersję ich programu.
Są do tego stopnia zdesperowani w walce o swoje prawa, że stanowią niemal żelaznego gwaranta dla służb bezpieczeństwa, które np. szukają haka na figuranta (osobnika którego ktoś zlecił im ud…pić).
M$, Ashampoo, Piriform, Info Zip, Malwarebytes, VS Revo, Google oraz większość producentów gier, nie chce „gnoić” użytkowników pirackiego oprogramowania, którym służby chcą dokopać (Antykomor etc.), ale „niemcy” z WinRARa tylko na to czekają. Mają nawet własną kancelarię prawną, która w istocie jest jednym z filarów ich zarobkowania.
W świetle litery prawa wszystko jest OK, ale… jakoś inne korporacje nie chcą się babrać w szambie i być de facto batem w ręku postkomunistycznych organów ścigania (bo dziwnym trafem to właśnie służby dawnego bloku wschodniego działają w ten specyficzny sposób – aby dobić osobnika, który np. skorzystał z prawa do wyrażania przekonań, które w istocie w krajach postkomunistycznych jest prawem martwym).
Jestem ciekaw co można zrobić z plikami 7z. Format nie jest liniowy jak ZIP, ale mamy tu zestaw zagnieżdżonych bloków o różnych nagłówkach. Dodatkowo każdy element może być skompresowany. Dzięki temu można np. umieścić instancję tego samego elementu spakowanego i niespakowanego na raz w jednym pliku albo zrobić więcej podobnych „dziwactw”.
Pamiętam, że jak się tym kilka lat temu bawiłem, to odpowiednio „uszkodzony” plik załatwiał któryś Linuksowy archiwizator do restartu X’ów, a Windowsowy do zapchania pamięci.
Przed próbami: Nie, chyba nie da się zmusić by spakowany nagłówek rozpakowywał sam siebie w nieskończoność (zip-bomba). W każdym razie ja próbowałem na „indeksie”.
Skrypt zostanie wykonany ale w systemie Windows 7 wyskoczy najpierw żądanie podniesienia uprawnień ( w przypadku prawdziwego trojana ) i wtedy każdy normalny użytkownik powinien wcisnąć „NIE”
Dodając do tego sprawny antywirus, raczej zagrożenie minimalne.
Spokojnie, statystyczny Kowalski kliknie Tak nawet nie czytając co uruchamia ;)
Na winrar 4.0 Nie działa :(
W najnowszym WinRar też działa nawet w najnowszym 7zip z plikiem zip
Dowód na zrzutach ekranu
http://prntscr.com/5pluz8
http://prntscr.com/5plvek
wystarczy zmienić 2x{nazwa pliku} w archiwum otwartym w Notepad++
Czyli jaki program do rozpakowywania plików Pan poleca? W większości programów analiza online wykazała niestety wirusy/trojany. Wiem, że wątek wiekowy, ale teraz zaczęłam się martwić… Z góry dziękuję za odpowiedź :)