روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ آرشیو کردن برنامه‌هایی که برای ساده‌سازی ذخیره‌گاه فایل طراحی شدند نه تنها برای کاربران که برای مهاجمین نیز به ابزاری رایج تبدیل شدند. آرشیوهای مخرب را معمولاً هم در حملات هدف‌دار و هم رخدادهای باج‌افزاری می‌توان یافت. مهاجمین عمدتاً از اینها برای دور زدن اقدامات امنیتی، فریب کاربران و البته استخراج داده‌های سرقتی استفاده می‌کنند. این یعنی دپارتمان‌های امنیت سایبری و آی‌تی باید دقیقاً توجه کنند چطور آرشیوها در سیستم‌عامل‌ها، اپ‌های تجاری و ابزارهای امنیتی مدیریت می‌شوند. یایید در ادامه نگاهی کنیم به نحوه استفاده از آرشیوها توسط مهاجمین.

تحویل بدافزارها با دور زدن هشدارهای «علامت‌گذاری یک فایل به عنوان فایلِ اینترنتی[1]»

به دلیل ویژگی‌های منطقی خاص و برخی آسیب‌پذیری‌ها در نرم‌افزارهای فشرده‌سازی (Archiver)، ممکن است فایل‌هایی که در ویندوز از حالت فشرده خارج می‌شوند، ویژگی "دانلودشده از اینترنت" (علامت‌گذاری یک فایل به عنوان فایلِ اینترنتی) دریافت نکنند. از نظر فنی، این ویژگی‌ها به‌صورت جریان داده جایگزین در سیستم فایل NTFS ذخیره می‌شوند Zone.Identifier: .اگر این شناسه نشان دهد که فایل از منبعی خارجی آمده است (مثلاً دارای مقدار ZoneID = 3 یا 4 باشد)، ویندوز هنگام اجرای فایل هشدار امنیتی نمایش می‌دهد و نرم‌افزارهایی مانند Microsoft Office نیز چنین فایل‌هایی را در حالت محافظت‌شده  باز می‌کنند تا از بروز آسیب‌های احتمالی جلوگیری شود. با این حال، مهاجمان با بهره‌برداری از نقص‌های موجود در عملکرد برخی از ابزارهای فشرده‌سازی، قادر هستند این لایه امنیتی را دور بزنند. جدیدترین نمونه از این نوع آسیب‌پذیری‌ها، CVE-2025-31334 در WinRAR است. آسیب‌پذیری‌های مشابه دیگری نیز وجود دارند، از جمله CVE-2025-0411 در 7-Zip و CVE-2024-8811 در WinZip.

شایان ذکر است که برخی از ابزارهای فشرده‌سازی، به‌طور کامل از Mark of the Web پشتیبانی نمی‌کنند، یا تنها برای برخی از پسوندهای خاص این ویژگی را اعمال می‌نمایند، و یا فقط در شرایط خاصی هنگام استخراج فایل‌ها آن را اضافه می‌کنند.

جدولی مقایسه‌ای درباره میزان پشتیبانی ابزارهای فشرده‌سازی مختلف از MotW در GitHub موجود است.

اجرای خودکار بدافزار از طریق آسیب‌پذیری‌های آرشیور

زمانی که کاربر عملی به ظاهر بی‌خطر انجام می‌دهد (مانند مشاهده محتوای یک فایل فشرده یا باز کردن فایلی که بی‌ضرر به نظر می‌رسد)، در شرایط خاصی ممکن است نرم‌افزار فشرده‌ساز، به‌طور ناخواسته فایل مخرب یا کد اجراییشل‌کد را اجرا کند. یکی از نمونه‌های اخیر این نوع آسیب‌پذیری‌ها، CVE-2024-11477در الگوریتم Zstandard است؛ الگوریتمی که توسط 7-Zip برای فشرده‌سازی استفاده می‌شود. این نقص امنیتی تاکنون در حملات واقعی مشاهده نشده است — برخلاف آسیب‌پذیری معروف CVE-2023-38831در WinRAR که به‌طور گسترده مورد سوءاستفاده قرار گرفت؛ از جمله توسط گروه‌های جاسوسی APT و دلال‌های دسترسی اولیه. در این آسیب‌پذیری WinRAR، زمانی که کاربر تلاش می‌کرد تصویری را درون یک فایل فشرده مشاهده کند، فایل اجرایی (EXE) مخربی که در پوشه‌ای با همان نام تصویر قرار داشت، اجرا می‌شد. در مارس ۲۰۲۵، نقص مشابهی در مکانی غیرمنتظره کشف شد — در ویرایشگر Vimکه میان کاربران سیستم‌عامل‌های مبتنی بر یونیکس بسیار محبوب است. افزونه‌ی استاندارد tar.vimدرVim این امکان را فراهم می‌کند که کاربران فایل‌ها را مستقیماً از درون آرشیوهای TAR مشاهده و ویرایش کنند. اما آسیب‌پذیری CVE-2025-27423باعث می‌شد در صورت باز کردن فایل از آرشیوی آلوده، دستورات دلخواه به‌صورت مستقیم در پوسته  اجرا شوند.

دستکاری سرور از طریق آپلودهای آرشیو

اگر سازمانی اپ وب عمومی داشته باشد که بتواند آپلودهای آرشیو را (مانند پیوست کردن فایل‌ها به فرم‌ها) مدیریت کند، آسیب‌پذیری‌ها در آن‌پکینگ آرشیو می‌تواند برای سرقت سرورها استفاده شود. متود کلاسیک Zip Slip است که از لینک‌های نمادین در آرشیوها برای دور زدن پاکسازی ورودی و اکسپلویت آسیب‌پذیری‌های پیمایش مسیر برای دستکاری اپ‌های از سمت سرور استفاده می‌کند. فهرستی از کتابخانه‌های مختلف مدیریت زیپ که در آن این آسیب‌پذیری پچ شده (20 مدل یا بیشتر از CVE وجود دارد) روی گیت‌هاب موجود است. ارزش دارد ببینید چند نمونه از این نرم‌افزارها تحت‌الشعاع این نقص قرار گرفتند. گرچه Zip Slip اولین بار در سال 2018 شرح داده شد اما نقایص منطقی در آرشیو سمت سرور هنوز رایج است- همانطور که در این پنتست 2025 و آسیب پذیری اخیر CVE-2024-12905 در tar-fs دیده می شود.

دور زدن امنیت با آرشیوهای خراب

مهاجمین ممکن است به‌صورت عمدی محتوای فایل‌های فشرده را خرابکنند تا ابزارهای امنیتی و اسکنرهای خودکار نتوانند آن‌ها را به‌طور کامل تحلیل و بررسی کنند. با این حال، قربانی همچنان می‌تواند فایل مورد نظر را با صرف کمترین تلاش به‌صورت دستی بازیابی و باز کند. یکی از نمونه‌های اخیر این روش، سوءاستفاده از قابلیت "بازیابی سند"  در نرم‌افزارهای Microsoft Office است — چرا که فایل‌های آفیس در واقع آرشیوهای ZIP هستند. در این شرایط، ابزارهای امنیتی و نرم‌افزارهای فشرده‌سازی ممکن است نتوانند چنین فایل‌هایی را اسکن کنند، اما Microsoft Word همچنان قادر است آن‌ها را بازیابی و باز کند.

ماسکه کردن بدافزارها با فرمت‌های عجیب

فراتر از فرمت‌های رایج مانند ZIP، RAR و TAR/TAR.GZ، مهاجمان به‌طور گسترده از فایل‌های ایمیج دیسک (نظیر ISO، IMG، VHD)، آرشیوهای ویندوزی (مانند CAB و MSI)، و حتی فرمت‌های قدیمی یا کمتر شناخته‌شده‌ای مانند ARJ، ACE، ICE و دیگر انواع مشابه استفاده می‌کنند.

ابزارهای امنیتی معمولاً در شناسایی و تحلیل این فرمت‌های خاص عملکرد مناسبی ندارند، در حالی که نرم‌افزارهای آرشیوساز مدرن و همه‌کاره‌ای مانند WinRARهمچنان قادر به باز کردن آن‌ها هستند.

پنهان‌سازی بدافزار با روش ماتریوشکا

اسکنرهای ایمیل و سایر ابزارهای امنیتی معمولاً دارای محدودیت‌های قابل تنظیم هستند تا از بار اضافی روی سرور جلوگیری شود؛ برای مثال، ممکن است فایل‌های بسیار بزرگ یا آرشیوهایی با عمق زیاد را از فرآیند اسکن حذف کنند. مهاجمان با سوءاستفاده از این مسئله، اقدام به ساختن آرشیوهای تو‌در‌تو یا به‌اصطلاح "عروسک روسی"می‌کنند—یعنی مجموعه‌ای از فایل‌های فشرده که درون یکدیگر قرار گرفته‌اند. در چنین شرایطی، احتمال اینکه آرشیو داخلی توسط سیستم امنیتی سازمان به‌طور خودکار اسکن نشود، بسیار بیشتر می‌شود. این روش به مهاجم کمک می‌کند تا بدافزار را از دید ابزارهای امنیتی پنهان کرده و آن را به مقصد نهایی برساند.

دور زدن ابزارهای امنیتی و فریب کاربران با استفاده از ویژگی‌های قانونی آرشیو

ترکیب مهندسی اجتماعی و ترفندهای فنی در حملات مبتنی بر فایل‌های فشرده

مهاجمین اغلب با تلفیق مهندسی اجتماعی و ترفندهای فنی، کاربران را ترغیب می‌کنند تا بدون جلب توجه ابزارهای امنیتی، اقدامات خاصی را روی فایل‌های فشرده انجام دهند. برخی از رایج‌ترین تکنیک‌ها عبارت‌اند از:

فایل‌های فشرده رمزگذاری‌شده

این ترفند کلاسیک که قدمت آن به اوایل دهه ۲۰۰۰ بازمی‌گردد، هنوز هم مؤثر است. قربانی یک فایل فشرده رمزدار دریافت می‌کند، در حالی‌ که رمز عبور به‌صورت جداگانه در ایمیل یا پیام‌رسان ارسال شده یا به‌صورت رمزآلود در همان پیام اولیه درج شده است. مثلاً:

رمز عبور، سال جاری است که دو بار تکرار شده است.

این روش در کمپین‌های بدافزاری Emotet به‌طور گسترده استفاده شده است.

فایل‌های خوداستخراج‌شونده

در گذشته برای کاربرانی که ابزار فشرده‌سازی نداشتند طراحی شده بود، اما امروزه به ابزاری برای اجرای آسان بدافزار تبدیل شده است. در این روش، مهاجم همه اجزای لازم برای آلودگی را در یک فایل اجرایی واحد جمع‌آوری می‌کند.

مثال: در حمله‌ی NeedleDropper، یک آرشیو خوداستخراج‌شونده حاوی ابزار قانونی AutoIT و اسکریپت‌های مخرب آن بود که پس از اجرا، به‌طور خودکار اجرا می‌شدند. مهاجم فقط باید قربانی را متقاعد کند تا فایل را اجرا کند.

ترکیبی از رمزگذاری و خوداستخراج

برخی حملات از آرشیوهای خوداستخراج‌شونده‌ای استفاده می‌کنند که پس از اجرا، یک آرشیو داخلی رمزدار را استخراج می‌کنند. رمز این آرشیو درون فایل بیرونی ذخیره شده است، اما اکثر ابزارهای امنیتی توانایی شناسایی یا استفاده از آن را ندارند.

فایل‌های با پسوند دوگانه

یکی دیگر از ترفندهای قدیمی اما همچنان مؤثر: استفاده از فایلی با پسوندی مانند .pdf.exeهمراه با آیکون برنامه Acrobat Reader، به‌گونه‌ای که برای کاربران کم‌تجربه شبیه یک فایل PDF معمولی به نظر برسد.

آرشیوهای چندبخشی

در گذشته برای تقسیم فایل‌های بزرگ میان CDها یا فلش‌ها به کار می‌رفت. این ویژگی هرچند امروزه به‌ندرت استفاده می‌شود، اما هنوز توسط نرم‌افزارهای فشرده‌سازی پشتیبانی می‌شود. مهاجمان از آن برای تقسیم بدافزار در میان فایل‌های مختلف مثل R01، R02،یا دور زدن ابزارهای امنیتی که فقط فایل‌های ZIP یا RAR را اسکن می‌کنند، بهره می‌برند.

فایل‌های پلی‌گلات یا چند زبانه

در این روش، چند فرمت مختلف در یک فایل ترکیب می‌شوند؛ به‌طوری که یک نرم‌افزار فایل را به شکل PDF باز می‌کند، در حالی که دیگری آن را به‌صورت فایل ZIP تشخیص می‌دهد. این امکان به دلیل ساختار فنی فایل ZIP فراهم شده است که هدر آن در انتهای فایل قرار دارد. در یکی از حملات اخیر گروه Head Mare، یک فایل پلی‌گلات حاوی یک فایل اجرایی مخرب با بک‌دور PhantomPyramid و یک آرشیو ZIP بی‌خطر بود. هنگام باز شدن، فایل به‌صورت ZIP نمایش داده می‌شد، اما میانبر درون آن باعث اجرای همان فایل به‌صورت EXE از طریقپاورشلمی‌شد. نسخه دیگری از همین تکنیک، شامل ترکیب دو آرشیو در یک فایل پلی‌گلات بود.

استفاده از آرشیوهای خوداستخراج به‌عنوان ابزار اجرا

در نوعی حمله پیشرفته‌تر که در حملات واقعی نیز مشاهده شده است، فایل خوداستخراجی هیچ فایل داخلی‌ای ندارد، اما شامل دستوراتی می‌شود که پس از استخراج، ابزارهای سیستمی مانند پاورشل  یا CMD را اجرا می‌کنند. این روش در دسته‌ی حملات Living off the Land (LotL) قرار می‌گیرد.

استخراج داده

فشرده‌سازی داده و رمزگذاری آرشیو قبل از خارج شدن از شبکه‌ی مورد حمله تحت تکنیک MITRE ATT&CK به نام T1560 سندسازی می‌شود. مهاجمین از همه گزینه‌های موجود استفاده می‌کنند: هر چیزی از ابزارهای پایه آرشیو روی ماشین‌های آلوده گرفته تا کتابخانه‌های محبوب آرشیو که در بدافزارها ساخته شدند. در حملات LotL، مهاجمین می‌توانند تکنیک‌ها را با استفاده از ابزارهای ویندوز برای جمع کردن فایل‌های سایز میزبان‌ها و همزمان آرشیوشان (diantz) با هم ترکیب کنند.

اقدامات امنیتی موقع مدیریت آرشیوها

این اقدامات باید بر اساس مشخصات سازمان، واحد کاری و نقش افراد اولویت‌بندی و تطبیق داده شوند. برای افزایش سطح امنیت:

ابزارهای امنیتی خود را با سناریوهای پیچیده آزمایش کنید

فرمت‌های آرشیو ناشناخته، آرشیوهای خراب‌شده و فایل‌های پلی‌گلات را در محیط آزمایشی تست کنید. اگر امکان آزمایش مستقیم وجود ندارد، از پشتیبانی فنی شرکت ارائه‌دهنده بپرسید که آیا این موارد توسط راهکار پوشش داده می‌شوند یا خیر. حداقل، این آزمون را برای درگاه ایمیل، فایروال نسل بعد)، راهکار EDR/XDRو سندباکس (در صورت مجزا بودن آن) انجام دهید. به‌عنوان مثال، در Kaspersky Secure Mail Gateway، سندباکس بخشی یکپارچه از معماری امنیتی است و از اجرای اغلب پیوست‌های مخرب جلوگیری می‌کند.

تنظیم استخراج امن فایل‌ها

اطمینان حاصل کنید که ابزارهای امنیتی قادر به بررسی آرشیوهای چندلایه و فایل‌های بزرگ هستند. توانایی اسکن عمیق در ابزارهای مختلف متفاوت است: فیلترهای ایمیل معمولاً می‌توانند پیوست‌ها را دقیق اسکن کرده و در سندباکس تحلیل کنند، در حالی که NGFWها عمدتاً فقط اعتبار فایل و محتوای سطحی آن را بررسی می‌کنند. بنابراین:

• تحلیل عمیق‌تر باید در سطح اندپوینت و درگاه‌های ایمیل انجام شود.
• وب‌فیلترها و NGFWها تنها باید بررسی‌های سبک‌تری انجام دهند.

در هر صورت، فایل‌های فشرده‌ای که خارج از ظرفیت تحلیل ابزارهای امنیتی هستند باید مسدود یا قرنطینه شوند.

مسدودسازی آرشیوهای خطرناک

بارگذاری آرشیوهای رمزدار، فرمت‌های خاص یا فایل‌های خوداستخراج‌شونده، معمولاً در محیط سازمان ضروری نیست و می‌توان آن را در ایستگاه‌های کاری غیرفعال کرد. همچنین، با استفاده از لیست سفید نرم‌افزارها فقط اجرای آرشیوکننده‌های مورد تأیید مثلاً فقط WinRAR یا 7-Zip را مجاز کنید.
نکته کلیدی: مطمئن شوید ابزارهای مورد تأیید در ویندوز از ویژگی Mark-of-the-Web  پشتیبانی می‌کنند.

مسدودسازی اجرای خودکار ایمیج‌های دیسک

اگرچه ایمیج‌های دیسک مانند ISO و IMG دقیقاً آرشیو نیستند، اما مهاجمان آن‌ها را برای حملات مشابه استفاده می‌کنند.
در نتیجه، استفاده از این نوع فایل‌ها را برای کاربرانی که نیازی به آن ندارند از طریق Group Policyغیرفعال کنید.

پایش استفاده از فایل‌های فشرده در اندپوینت‌ها

مطمئن شوید که راهکارهای EDR/XDR، SIEMو ابزارهای مانیتورینگ دارای قوانینی برای شناسایی فعالیت‌های مشکوک مرتبط با آرشیوها هستند، مانند:

• اجرای فایل از پوشه‌های موقت
• اجرای فرآیند از داخل آرشیو
• ایجاد آرشیوهای رمزدار یا حجیم
• فشرده‌سازی داده‌ها از مسیرهای شبکه‌ای

محدودسازی استفاده از آرشیوها در برنامه‌های سمت سرور

اگر بارگذاری آرشیوها در CMS، CRM یا سایر برنامه‌های آنلاین بخشی حیاتی از فرآیند کاری نیست، بهتر است این قابلیت غیرفعال شود. در صورتی که نیاز به آن وجود دارد:

• اطمینان حاصل کنید که مسیر بارگذاری فایل‌ها تحت نظارت EDR قرار دارد.
• برنامه‌ی سمت سرور به‌روزرسانی شود.
• دسترسی نوشتن برنامه فقط به مسیرهای مشخص محدود باشد.

گنجاندن ابزارهای آرشیوساز در برنامه مدیریت آسیب‌پذیری

نرم‌افزارهای فشرده‌سازی باید به‌اندازه سیستم‌عامل و نرم‌افزارهای آفیس به‌روزرسانی شوند، چرا که آسیب‌پذیری در آن‌ها می‌تواند به حملات مستقیم منجر شود.

آموزش کاربران

آموزش‌های امنیت سایبری باید علاوه بر موضوعات فیشینگ، شامل نکاتی درباره استفاده ایمن از فایل‌های فشرده نیز باشد:

• به پیام‌ها و پنجره‌های هشدار هنگام باز کردن فایل‌های رایجمثل پی‌دی‌اف یا ورد.
• فقط از نرم‌افزارهای تأییدشده شرکت برای استخراج فایل‌ها استفاده کنند.
• در صورتی که بلافاصله پس از کلیک روی یک فایل، درخواست رمز عبور ظاهر شد، آن را اجرا نکنند و سریعاً به تیم امنیت اطلاع دهند.

[1] "Mark of the Web" یعنی علامت‌گذاری یک فایل به عنوان فایلِ اینترنتی. ویندوز این علامت را برای افزایش امنیت استفاده می‌کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.