Утилиты для сжатия файлов, облегчающие их хранение и передачу, давно превратились в стандартный инструмент не только в руках обычных пользователей, но и киберпреступников. Заряженные вредоносами сжатые файлы регулярно обнаруживаются как в целевых атаках, так и в эпизодах с шифровальщиками. Злоумышленники преимущественно используют их для обхода защитных систем, введения жертв в заблуждение и вывода похищенной информации. Поэтому ИБ-специалистам и IT-отделам необходимо тщательно контролировать обработку архивных форматов в операционных системах, корпоративных приложениях и средствах защиты. Разберём основные сценарии злонамеренного использования архивов.
Распространение вредоносного кода с обходом маркера интернет-происхождения
Из-за особенностей работы и уязвимостей некоторых архиваторов при распаковке в среде Windows извлечённые файлы иногда лишаются атрибута Mark-of-the-Web (MOTW). Этот маркер технически хранится в альтернативном потоке данных NTFS под названием Zone.Identifier. Если идентификатор указывает на внешний источник (ZoneID = 3 или 4), Windows выводит предупреждение при запуске исполняемых файлов, а Office автоматически включает защищённый режим для подозрительных документов.
Используя недочёты программ для распаковки, злоумышленники нейтрализуют этот защитный слой. Свежим примером стала уязвимость CVE-2025-31334 в WinRAR, но ей предшествовали CVE-2025-0411 в 7-Zip и CVE-2024-8811 в WinZip. Важно учитывать, что отдельные архиваторы вообще не поддерживают MOTW, применяют её только к определённым расширениям или реализуют частично. Сравнительная таблица совместимости архиваторов с MOTW опубликована на GitHub.
Автоматическая активация вредоносов через дыры в архиваторах
Когда пользователь выполняет безобидное действие (просматривает архив или открывает безопасный файл внутри него), при определённых условиях программа для распаковки может запустить вредоносный код. Недавний пример — CVE-2024-11477 в алгоритме Zstandard, используемом 7-Zip, хотя в реальных атаках чаще эксплуатировалась CVE-2023-38831 в WinRAR. Последняя позволяла запустить .exe-файл при попытке открыть изображение, если исполняемый файл находился в папке с аналогичным названием.
В марте 2025 года подобный дефект обнаружили в модуле tar.vim редактора Vim, популярного среди пользователей *nix-систем. Уязвимость CVE-2025-27423 позволяла выполнить произвольные команды при редактировании файла из вредоносного TAR-архива.
Взлом серверов через обработку архивов
Публичные веб-приложения, поддерживающие загрузку архивов (например, формы отправки документов), уязвимы к атакам через недостатки процедуры распаковки. Наиболее известна техника Zip Slip, использующая символические ссылки внутри архивов для обхода проверок и реализации атак типа path traversal. Список исправленных библиотек для обработки ZIP (содержит более 20 CVE) доступен на GitHub.
Хотя Zip Slip документально описана в 2018 году, ошибки в серверной логике распаковки актуальны до сих пор — достаточно вспомнить пентест 2025 года или свежую уязвимость CVE-2024-12905 в tar-fs.
Обход систем защиты повреждёнными архивами
Намеренно повредив архив, злоумышленники могут сделать его недоступным для автоматических сканеров, тогда как жертва сможет восстановить содержимое простыми действиями. Актуальный пример — эксплуатация функции восстановления документов MS Office (технически являющихся ZIP-архивами): многие средства защиты выдают ошибку при сканировании, но Word успешно открывает такой файл.
Камуфляж вредоносов через редкие форматы
Помимо распространённых ZIP, RAR и TAR/GZ, в атаках активно используются образы дисков (ISO, IMG, VHD), CAB-архивы, установочные пакеты MSI, а также форматы устаревших архиваторов (ARJ, ACE, ICE). Защитные решения часто некорректно их анализируют, тогда как современные программы типа WinRAR открывают их без проблем.
Матрешка из вложенных архивов
Почтовые фильтры и системы защиты обычно ограничивают глубину проверки архивов для снижения нагрузки. Создав цепочку из нескольких вложенных архивов, злоумышленники повышают шансы, что внутренний вредоносный объект останется не просканированным.
Комбинирование технических приёмов и социальной инженерии
Преступники сочетают различные уловки для обмана пользователей и систем безопасности:
- Зашифрованные архивы. Классический метод: пароль отправляется отдельным сообщением или зашифрован в тексте письма («пароль — текущий год удвоенный»). Пример — рассылки Emotet.
- Самораспаковывающиеся архивы (SFX). Позволяют объединить все компоненты атаки в один файл. Например, в кампании NeedleDropper SFX-архив извлекал легитимный AutoIt вместе со зловредными скриптами.
- Комбинация приёмов. Иногда SFX-архив содержит вложенный запароленный архив — защитные системы редко обнаруживают пароль внутри внешнего контейнера.
- Двойные расширения. Файлы вида .pdf.exe с поддельной иконкой — до сих пор эффективны против неопытных пользователей.
- Многотомные архивы. Разделение вредоноса на части (R01, R02) помогает обойти проверку, настроенную только на основные расширения.
- Файлы-полиглоты. Объединение разных форматов в один файл (например, exe + zip). В атаке Head Mare полиглот открывался как архив, но при запуске ярлыка активировал бэкдор PhantomPyramid через PowerShell.
- Пустые SFX-архивы с командами. Редкий сценарий: архив без файлов содержит инструкции на запуск системных утилит (PowerShell, cmd) по методу LOTL.
Вывод похищенных данных
Сжатие и шифрование информации перед отправкой описаны в MITRE ATT&CK (T1560). Используются как прямые вызовы архиваторов, так и встроенные в вредонос библиотеки. В LOTL-атаках встречается комбинация утилит Windows для сбора и архивации данных с удалённых хостов (например, diantz).
Меры защиты при работе с архивами
Перечисленные действия необходимо адаптировать под специфику организации. Для комплексной защиты выполните следующее:
- Протестируйте защитные системы на сложных кейсах: экзотические форматы, битые архивы, полиглоты. Минимальный охват: почтовый шлюз, межсетевые экраны NGFW, EDR/XDR-решения и песочницы. Например, в Kaspersky Secure Mail Gateway песочница интегрирована в общую архитектуру защиты.
- Настройте безопасную распаковку. Убедитесь, что защита анализирует многоуровневые архивы и крупные файлы. На почтовых шлюзах и конечных точках возможен глубокий анализ, на NGFW — базовый. Архивы, превышающие лимиты обработки, следует блокировать.
- Блокируйте опасные форматы. Самораспаковывающиеся и экзотические архивы редко нужны в работе — ограничьте их на хостах. Средствами Application Control разрешите только доверенные архиваторы, проверьте их совместимость с MOTW.
- Отключите автообработку образов дисков. Через групповые политики заблокируйте монтирование ISO/IMG/VHD для сотрудников без особой необходимости.
- Мониторьте работу архиваторов. Настройте в EDR и SIEM правила для обнаружения подозрительных действий: запуск из временных папок, архивация сетевых ресурсов, создание защищённых архивов.
- Ограничьте загрузку архивов на серверах. Если функционал не критичен, отключите его в веб-приложениях. Иначе обеспечьте мониторинг папок загрузки, регулярное обновление софта и ограничение прав записи.
- Включите архиваторы в систему управления уязвимостями. Обновляйте их наравне с ОС и офисными пакетами.
- Обучайте персонал. Включите в тренировки по ИБ правила обращения с архивами: внимание к предупреждениям, использование только разрешённых программ, запрет на открытие запароленных файлов из непроверенных источников.