архиваторы
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
Автоматический запуск вредоносного ПО через уязвимости архиватора
Когда пользователь выполняет безопасное действие (просмотр архива, просмотр безобидного файла из архива), при определенных условиях архиватор может запускать заархивированный вредоносный файл или шелл-код. Самым свежим примером уязвимости, позволяющей такое, стала CVE-2024-11477 в алгоритме Zstandard, являющемся ключевым методом компрессии для 7-Zip. Этот дефект не был замечен в реальных атаках, в отличие от CVE-2023-38831 в WinRAR, которая широко использовалась атакующими — от шпионских APT до брокеров первоначального доступа. Уязвимость в WinRAR позволяла запустить исполняемый файл из архива при попытке просмотреть изображение, если файл .exe находился в папке с таким же именем, как у картинки.
В марте 2025 года дефект этого класса был обнаружен в весьма необычном месте — популярном среди *nix-пользователей редакторе Vim. Он поставляется со стандартным дополнительным модулем tar.vim, который позволяет просматривать и редактировать файлы прямо внутри архивов TAR. CVE-2025-27423 давал возможность выполнить произвольную команду в шелле при попытке отредактировать файл во вредоносном архиве.
Компрометация серверов при загрузке архивов
Если у организации есть публично доступное веб-приложение, способное обрабатывать архивные файлы (например, когда веб-сайт допускает закачку файлов в приложении к каким-нибудь заявкам), то уязвимости в процедуре распаковки могут использоваться для захвата серверов. Наиболее известной методикой такого рода является Zip Slip, которая с помощью заархивированных символических ссылок обходит процедуры очистки ввода (input sanitization) и позволяет использовать уязвимости класса обход пути (path traversal) для компрометации серверных приложений. Список различных библиотек обработки ZIP-файлов на серверах и в других проектах, где была исправлена эта уязвимость (в нем более 20 CVE), доступен на GitHub — стоит его изучить, чтобы понять, сколько разнообразного ПО может быть подвержено такому дефекту.
Хотя техника Zip Slip описана в 2018 году, различные дефекты в логике распаковки ZIP на сервере остаются актуальны и сегодня, как показывает пример этого пентеста из 2025 года, а также свежая уязвимость CVE-2024-12905 в tar-fs.
Обход средств безопасности с помощью поврежденных архивов
Намеренно повреждая содержимое архивного файла, злоумышленники могут добиться того, чтобы он не полностью обрабатывался защитными инструментами и автоматизированными сканерами. При этом жертва может восстановить и прочитать файл после несложной ручной обработки. Свежая атака этого типа — эксплуатация функции «восстановление документа» MS Office, ведь файлы Office тоже по сути являются архивами ZIP. Попытка просканировать документ многими защитными инструментами и архиваторами приводит к ошибке, но Word его успешно восстанавливает и открывает.
Маскировка вредоносов с помощью экзотических форматов
Наряду с самыми известными ZIP, RAR и TAR/TAR.GZ в атаках широко используются образы дисков ISO, IMG и VHD, Windows-архивы CAB и MSI, а также файлы старых и экзотических архиваторов: ARJ, ACE, ICE и других. Защитные инструменты не всегда корректно обрабатывают их, а вот современные универсальные утилиты вроде WinRAR могут вполне успешно открывать их.
Маскировка вредоносов по методу матрешки
Сканеры почты и другие защитные инструменты имеют настраиваемые ограничения, чтобы снизить нагрузку на серверы (не проверять очень большие файлы, не проверять вложенные архивы и так далее). Если злоумышленник создаст «матрешку» из нескольких вложенных архивов, повышается вероятность, что в атакуемой организации содержимое последнего, внутреннего, архива не будет просканировано автоматически.
Обход средств безопасности и обман пользователей с помощью легитимных свойств архивов
Злоумышленники часто комбинируют социальную инженерию и технические трюки, чтобы побудить пользователя выполнить нужное действие с архивом и не вызвать оповещений от средств защиты информации. Вот некоторые из них.
Зашифрованные архивы. Классический трюк начала века до сих пор в строю. Жертве присылают архив, защищенный паролем, а сам пароль присылают отдельным письмом, сообщением в мессенджере, либо описывают прямо в письме с архивом, но иносказательно: «паролем является нынешний год, повторенный дважды». Например, этот метод использовался в рассылках ВПО Emotet.
Самораспаковывающиеся архивы. Удобная функция из тех времен, когда инструменты для распаковки архивов еще не были встроены во все популярные ОС. Сегодня она позволяет злоумышленникам выполнять простые шаги по инсталляции вредоносного ПО, комбинируя все нужные компоненты в одном файле. Например, в атаке NeedleDropper самораспаковывающийся архив извлекает популярный легитимный инструмент AutoIt и вредоносные сценарии AutoIt, после чего запускает все это. Все, что злоумышленникам нужно, — обманом заставить жертву запустить автораспаковку.
Комбинация вышеперечисленного. В некоторых атаках используются самораспаковывающиеся архивы, которые после установки запускают распаковку вложенного архива с паролем. Таким образом, пароль для распаковки внутреннего архива, технически, находится прямо во внешнем архиве, но мало какие защитные инструменты способны его там обнаружить и использовать.
Архивы с двойным расширением. Классика жанра — самораспаковывающийся архив с расширением вроде .pdf.exe, которому средствами архиватора еще и присвоена иконка Acrobat Reader. Для жертв, не сведущих в ИТ, такие уловки по-прежнему выглядят убедительно.
Многотомные архивы. Обычно эта функция использовалась, чтобы разделить очень большие архивы на фрагменты, равные по объему CD-диску, флеш-накопителю и так далее. Сегодня это редко используемая, но исправно поддерживаемая архиваторами функция. Она применяется для разделения вредоносного ПО на фрагменты по томам архива или для обхода сканирования целиком — некоторые защитные средства настроены только на расширения ZIP/RAR, а не R01, R02 и так далее.
Файлы-полиглоты. Злоумышленники могут скомбинировать файлы разных форматов в один, так что одно приложение откроет файл, скажем, как PDF, а другое — как ZIP-архив. В этом очень помогает то, что технические заголовки ZIP-архива находятся в конце файла, а не в начале. Недавно мы описывали атаку группировки Head Mare, в которой фишинговые письма содержали файл-полиглот, склеенный из вредоносного exe-файла с бэкдором PhantomPyramid и небольшого ZIP-архива, который не содержал опасных файлов. При обычном клике он открывался как .zip, но при запуске сохраненного в архиве ярлыка тот же полиглот запускался уже как .exe при помощи PowerShell. Другая разновидность того же метода — использование полиглота из двух склеенных архивов.
Самораспаковывающийся архив как инструмент запуска. Экзотический, но встречающийся в реальных атаках вариант — самораспаковывающийся архив вообще не содержит файлов, но зато в разделе «выполнить после распаковки» имеет команды запуска типичного для LOTL-атак системного ПО: powershell, cmd и так далее.
Эксфильтрация данных
Архивация данных и шифрование архива перед выводом из атакуемой сети обширно документирована в соответствующей технике MITRE ATT&CK (T1560). Используются все мыслимые варианты — от прямолинейного запуска архиваторов на зараженной системе до применения встроенных прямо в ВПО популярных библиотек архивации. В атаках LOTL встречаются комбинированные варианты, когда утилиты Windows используются для извлечения нужных файлов с других хостов и одновременной архивации (diantz).
Защитные меры при обработке архивов
Перечисленные меры требуют приоритизации и адаптации в зависимости от профиля организации, отдела и конкретной должности. Для полноценной защиты выполните следующее.
Протестируйте свои защитные инструменты на сложных случаях: экзотические форматы архивов, поврежденные архивы, архивы-полиглоты. Если тестировать затруднительно, уточните в техподдержке своего производителя защитного ПО, поддерживаются ли эти кейсы. Как минимум тестировать нужно почтовый шлюз и NFGW, решение EDR/XDR, а также «песочницу» (sandbox), если она является отдельным решением, а не включена в ранее перечисленные. Например, в Kaspersky Secure Mail Gateway «песочница» является неотъемлемой частью общей архитектуры защиты и предотвращает запуск большинства вредоносных вложений.
Установите безопасные настройки распаковки. Убедитесь, что ваше защитное решение способно проверять многократно вложенные архивы и архивы большого размера. Возможности разных инструментов в этой сфере будут отличаться. Если почтовые фильтры могут глубоко сканировать вложения и детонировать их в «песочнице», то NGFW, скорее всего, ограничится проверкой репутации самого архива и видимых в нем файлов. Поэтому разумно использовать более глубокий анализ на конечных точках и в почтовых шлюзах и посильный (с учетом ограничений) — на веб-фильтрах и NGFW. В любом случае архивы, превышающие разумные возможности анализа, рекомендовано блокировать или помещать на карантин.
Заблокируйте опасные архивы. Загрузка архивов экзотических форматов, а также самораспаковывающихся архивов бывает нужна крайне редко, поэтому ее можно заблокировать на хостах, а также с помощью управления доверенными приложениями (Apps Allowlist, Application Control) запретить запуск любых архиваторов, кроме 1–2 разрешенных и реально используемых в организации. Важно проанализировать использование встроенных в ОС инструментов архивации и заблокировать те, которые не применяются сотрудниками и ИТ-службой. Убедитесь, что среди разрешенных инструментов для Windows-машин нет тех, которые некорректно работают с механизмом MOTW.
Заблокируйте автоматическое подключение образов дисков. Хотя образы дисков — это не совсем архивы, атакующие используют их схожим образом. Пользование образами стоит отключить на уровне групповых политик для всех сотрудников, у которых нет на это прямой бизнес-необходимости.
Отслеживайте использование архиваторов на конечных точках. Убедитесь, что в ваше EDR-решение и средства мониторинга (SIEM, XDR) загружены правила, помогающие обнаружить подозрительные действия, связанные с архивами: запуск файлов из временных папок, запуск процессов из контекста архиватора и так далее. Необходим мониторинг и для обнаружения попыток кражи данных: архивация данных с сетевых папок, архивация с паролем, создание очень больших архивов и так далее.
Ограничьте использование архивов в серверных приложениях. Если загрузка файлов в архивах не является критически важной бизнес-функциональностью, лучше отключить эту возможность в CMS, CRM и других онлайн-приложениях. Обеспечивать ее безопасность может быть затруднительно. Если применение архивов все же критически важно, убедитесь, что папки, куда загружаются эти архивы, находятся под наблюдением EDR-агента на сервере, само серверное приложение регулярно обновляется, а разрешения, данные приложению, не позволяют ему записывать файлы в какие-либо папки, кроме собственных служебных.
Включите архиваторы и приложения, которые обрабатывают архивы, в программу управления уязвимостями. Обновлять архиваторы надо не реже, чем ОС и офисные приложения.
Обучайте сотрудников. В ИБ-тренинги для сотрудников нужно включать не только фишинг, но и общие правила безопасного обращения с архивами: уделять внимание любым промежуточным окнам и предупреждениям при открытии привычных файлов (DOC, PDF), распаковывать архивы только через принятое в компании приложение-архиватор, а если они требуют пароль сразу после клика на файл, ни в коем случае не распаковывать их и оперативно сообщать в ИБ.
Советы