Архивы, такие как ZIP, RAR, CAB, MSI, ISO и прочие, нередко используются в целевых хакерских атаках на организацию. Внутри архива не обязательно может быть зараженный исполняемый файл – на самом деле существуют более изощренные способы взлома
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средства защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах.
Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета». Технически эти атрибуты сохраняются в альтернативном потоке данных и если идентификатор указывает на внешний источник файла, то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме. Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают такую проверку, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки.
Когда пользователь выполняет безопасное действие (просмотр архива, просмотр безобидного файла из архива), при определенных условиях архиватор может запускать заархивированный вредоносный файл или шелл-код. Самым свежим примером уязвимости, позволяющей такое, стала CVE-2024-11477 в алгоритме Zstandard, являющемся ключевым методом компрессии для 7-Zip. Этот дефект не был замечен в реальных атаках, которые широко использовалась атакующими — от шпионских APT до брокеров первоначального доступа. Уязвимость в WinRAR позволяла запустить исполняемый файл из архива при попытке просмотреть изображение, если файл .exe находился в папке с таким же именем, как у картинки.
В марте 2025 года дефект этого класса был обнаружен в весьма необычном месте — популярном среди *nix-пользователей редакторе Vim. Он поставляется со стандартным дополнительным модулем tar.vim, который позволяет просматривать и редактировать файлы прямо внутри архивов TAR. CVE-2025-27423 давал возможность выполнить произвольную команду в шелле при попытке отредактировать файл во вредоносном архиве.
Если у организации есть публично доступное веб-приложение, способное обрабатывать архивные файлы (например, когда веб-сайт допускает закачку файлов в приложении к каким-нибудь заявкам), то уязвимости в процедуре распаковки могут использоваться для захвата серверов. Наиболее известной методикой такого рода является Zip Slip, которая с помощью заархивированных символических ссылок обходит процедуры очистки ввода (input sanitization) и позволяет использовать уязвимости класса обход пути (path traversal) для компрометации серверных приложений. Хотя техника Zip Slip описана в 2018 году, различные дефекты в логике распаковки ZIP на сервере остаются актуальны и сегодня, как показывает пример этого пентеста из 2025 года, а также свежая уязвимость CVE-2024-12905 в tar-fs.
Намеренно повреждая содержимое архивного файла, злоумышленники могут добиться того, чтобы он не полностью обрабатывался защитными инструментами и автоматизированными сканерами. При этом жертва может восстановить и прочитать файл после несложной ручной обработки. Свежая атака этого типа — эксплуатация функции «восстановление документа» MS Office, ведь файлы Office тоже по сути являются архивами ZIP. Попытка просканировать документ многими защитными инструментами и архиваторами приводит к ошибке, но Word его успешно восстанавливает и открывает.
Наряду с самыми известными ZIP, RAR и TAR/TAR.GZ в атаках широко используются образы дисков ISO, IMG и VHD, Windows-архивы CAB и MSI, а также файлы старых и экзотических архиваторов: ARJ, ACE, ICE и других. Защитные инструменты не всегда корректно обрабатывают их, а вот современные универсальные утилиты вроде WinRAR могут вполне успешно открывать их.
Сканеры почты и другие защитные инструменты имеют настраиваемые ограничения, чтобы снизить нагрузку на серверы (не проверять очень большие файлы, не проверять вложенные архивы и так далее). Если злоумышленник создаст «матрешку» из нескольких вложенных архивов, повышается вероятность, что в атакуемой организации содержимое последнего, внутреннего, архива не будет просканировано автоматически. Кстати, такой способ позволяет и пользователям скрывать содержимое архивов от защиты автоматических проверок серверов: если нужно куда-то выгрузить файл MP3, но сервер отказывается принимать его по каким-то своим соображениям, то можно дважды или трижды заархивировать этот файл т тогда сервер ничего не заподозрит.
Злоумышленники часто комбинируют социальную инженерию и технические трюки, чтобы побудить пользователя выполнить нужное действие с архивом и не вызвать оповещений от средств защиты информации.
Зашифрованные архивы. Классический трюк начала века до сих пор в строю. Жертве присылают архив, защищенный паролем, а сам пароль присылают отдельным письмом, сообщением в мессенджере, либо описывают прямо в письме с архивом, но иносказательно: «паролем является нынешний год, повторенный дважды». Например, этот метод использовался в рассылках ВПО Emotet.
Самораспаковывающиеся архивы. Жуткое зло, но удобная функция из тех времен, когда инструменты для распаковки архивов еще не были встроены во все популярные ОС. Сегодня она позволяет злоумышленникам выполнять простые шаги по инсталляции вредоносного ПО, комбинируя все нужные компоненты в одном файле. Все, что злоумышленникам нужно, — обманом заставить жертву запустить автораспаковку.
Комбинация вышеперечисленного. В некоторых атаках используются самораспаковывающиеся архивы, которые после установки запускают распаковку вложенного архива с паролем. Таким образом, пароль для распаковки внутреннего архива, технически, находится прямо во внешнем архиве, но мало какие защитные инструменты способны его там обнаружить и использовать.
Архивы с двойным расширением. Классика жанра — самораспаковывающийся архив с расширением вроде .pdf.exe, которому средствами архиватора еще и присвоена иконка Acrobat Reader. Для жертв, не сведущих в ИТ, такие уловки по-прежнему выглядят убедительно.
Многотомные архивы. Обычно эта функция использовалась, чтобы разделить очень большие архивы на фрагменты, равные по объему CD-диску, флеш-накопителю и так далее. Сегодня это редко используемая, но исправно поддерживаемая архиваторами функция. Она применяется для разделения вредоносного ПО на фрагменты по томам архива или для обхода сканирования целиком — некоторые защитные средства настроены только на расширения ZIP/RAR, а не R01, R02 и так далее.
Файлы-полиглоты. Злоумышленники могут скомбинировать файлы разных форматов в один, так что одно приложение откроет файл, скажем, как PDF, а другое — как ZIP-архив. В этом очень помогает то, что технические заголовки ZIP-архива находятся в конце файла, а не в начале. При обычном клике он открывался как .zip, но при запуске сохраненного в архиве ярлыка тот же полиглот запускался уже как .exe при помощи PowerShell. Другая разновидность того же метода — использование полиглота из двух склеенных архивов.
Перечисленные меры требуют приоритизации и адаптации в зависимости от профиля организации, отдела и конкретной должности. Для полноценной защиты выполните следующее.
Протестируйте свои защитные инструменты на сложных случаях: экзотические форматы архивов, поврежденные архивы, архивы-полиглоты. Если тестировать затруднительно, уточните в техподдержке своего производителя защитного ПО, поддерживаются ли эти кейсы.
Установите безопасные настройки распаковки. Убедитесь, что ваше защитное решение способно проверять многократно вложенные архивы и архивы большого размера. Возможности разных инструментов в этой сфере будут отличаться. Если почтовые фильтры могут глубоко сканировать вложения и детонировать их в «песочнице», то NGFW, скорее всего, ограничится проверкой репутации самого архива и видимых в нем файлов. Поэтому разумно использовать более глубокий анализ на конечных точках и в почтовых.
Заблокируйте опасные архивы. Загрузка архивов экзотических форматов, а также самораспаковывающихся архивов бывает нужна крайне редко, поэтому ее можно заблокировать на хостах, а также с помощью управления доверенными приложениями запретить запуск любых архиваторов, кроме 1–2 разрешенных и реально используемых в организации. Важно проанализировать использование встроенных в ОС инструментов архивации и заблокировать те, которые не применяются сотрудниками и ИТ-службой.
Заблокируйте автоматическое подключение образов дисков. Хотя образы дисков — это не совсем архивы, атакующие используют их схожим образом. Пользование образами стоит отключить на уровне групповых политик для всех сотрудников, у которых нет на это прямой бизнес-необходимости.
Обучайте сотрудников. В ИБ-тренинги для сотрудников нужно включать не только фишинг, но и общие правила безопасного обращения с архивами: уделять внимание любым промежуточным окнам и предупреждениям при открытии привычных файлов (DOC, PDF), распаковывать архивы только через принятое в компании приложение-архиватор, а если они требуют пароль сразу после клика на файл, ни в коем случае не распаковывать их и оперативно сообщать в ИБ.
По материалам Касперский