해커들이 보안 솔루션에서 탐지되지 않는 악성 페이로드를 압축 파일에 숨기는 방식으로 윈도우 컴퓨터를 공격하고 있습니다. 이 기법은 ZIP 파일을 연결하는 방식을 이용해 악성 코드를 숨기는 것으로, Perception Point가 최근 발견하였습니다. 이들은 가짜 배송 알림을 이용한 피싱 공격을 분석하던 중, 연결된 ZIP 파일에 트로이 목마가 숨어 있는 것을 발견하였습니다.
공격의 첫 단계는 준비 단계로, 위협 요소들이 두 개 이상의 별도 ZIP 파일을 생성하고 그 중 하나에 악성 페이로드를 숨깁니다. 그 다음, 별도의 파일들이 하나로 합쳐져 하나의 ZIP 파일로 만들어집니다. 이렇게 만들어진 파일은 하나의 파일처럼 보이지만, 각각의 중앙 디렉토리와 끝 마커를 가진 여러 ZIP 구조를 포함하고 있습니다.
Perception Point는 이 공격이 ZIP 파일을 처리하는 방식에 따라 다르게 작동한다는 것을 발견하였습니다. 7zip, WinRAR, Windows File Explorer 등의 애플리케이션을 테스트한 결과, 각각 다른 반응을 보였습니다. 앱의 동작에 따라, 위협 행위자는 공격을 세밀하게 조정할 수 있습니다. Perception Point는 이러한 연결된 ZIP 파일에 대비하기 위해 재귀적인 압축 해제를 지원하는 보안 솔루션을 사용힐 것을 권장합니다.
요약
- 해커들이 ZIP 파일 연결 기법을 이용해 악성 페이로드를 압축 파일에 숨기는 새로운 공격 방식이 발견되었다.
- 공격의 첫 단계는 두 개 이상의 별도 ZIP 파일을 생성하고 그 중 하나에 악성 페이로드를 숨기는 것이다.
- Perception Point는 이 공격이 ZIP 파일을 처리하는 방식에 따라 다르게 작동한다는 것을 발견하였다.
- 7zip, WinRAR, Windows File Explorer 등의 애플리케이션은 각각 다른 반응을 보였다.
- Perception Point는 이러한 연결된 ZIP 파일에 대비하기 위해 재귀적인 압축 해제를 지원하는 보안 솔루션을 사용하는 것을 권장한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.