Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Por qué los archivos comprimidos son el objetivo número uno de los ciberataques 

Por Stella Nguyen, directora sénior de marketing de productos
Última actualización:
Comparte esta publicación

Los formatos de archivo comprimido, como ZIP y RAR, se han convertido en una de las herramientas más utilizadas para la distribución de malware, ya que ofrecen a los ciberdelincuentes una forma fiable y eficaz de difundir cargas maliciosas. Según un estudio sobre amenazas realizado por HP Wolf Security, solo en el segundo trimestre de 2024, los archivos comprimidos representaron el 39 % de todos los métodos de distribución de malware, lo que los convierte en la opción preferida de los atacantes. Al incrustar scripts dañinos, archivos ejecutables o contenido de phishing en archivos aparentemente inofensivos, los hackers se aprovechan de la confianza y la familiaridad asociadas a estos formatos.  

Un gráfico de barras que muestra las extensiones de archivo de malware más comunes, con los archivos .exe a la cabeza, seguidos de los .zip, .rar y .doc.

Técnicas sofisticadas como el aprovechamiento de la arquitectura modular del formato ZIP, la manipulación de los encabezados de los archivos y la concatenación de archivos comprimidos permiten a los atacantes eludir los sistemas de detección y ejecutar sus cargas útiles sin ser detectados. La adopción generalizada de estos formatos, junto con su capacidad para eludir las medidas de seguridad tradicionales, pone de relieve su papel como una amenaza significativa y en constante evolución. En este blog, analizaremos los mecanismos técnicos que subyacen a estas técnicas de ataque, evaluaremos su eficacia y ofreceremos medidas prácticas para detectar y prevenir estas amenazas basadas en archivos comprimidos. 

Escenario 1: Concatenación de archivos de archivo

La ingeniosidad de la concatenación evasiva de archivos de archivo radica en su capacidad para combinar hábilmente varios archivos de archivo de tal forma que se eluden los métodos de detección o las restricciones tradicionales, al tiempo que se mantiene la funcionalidad y la accesibilidad de los datos. Esta técnica se emplea a menudo en situaciones creativas o poco convencionales, como para eludir los límites de tamaño de los archivos, ocultar el contenido u optimizar el almacenamiento de datos de formas originales.

La eficacia de esta táctica de evasión se debe a las diferencias en el comportamiento de las distintas herramientas de análisis de archivos ZIP a la hora de gestionar archivos concatenados: 

  • 7-Zip: solo analiza el primer archivo ZIP, que puede ser inofensivo, por lo que podría pasar por alto la carga maliciosa incrustada en los archivos posteriores.
  • WinRAR: procesa y muestra únicamente la última parte de las estructuras ZIP.
  • Explorador de archivos de Windows: es posible que no consiga abrir el archivo concatenado por completo. Sin embargo, si se cambia el nombre del archivo añadiéndole la extensión .RAR, es posible que solo se abra el segundo archivo ZIP, omitiendo el primero. 

Esta inconsistencia en el procesamiento de archivos ZIP concatenados permite a los atacantes eludir los mecanismos de detección al incrustar cargas maliciosas en segmentos del archivo a los que ciertos analizadores ZIP no pueden acceder o no están diseñados para hacerlo.

Escenario 2: Archivos engañosos

MS Office como archivo

Cuando la mayoría de la gente piensa en archivos comprimidos, lo primero que le viene a la mente son los archivos ZIP, RAR o, tal vez, TAR. Aunque se trata, efectivamente, de formatos de archivo comprimido muy comunes, solo representan una pequeña parte de las posibilidades existentes. Muchos formatos de archivo modernos utilizan estructuras de archivo comprimido en su funcionamiento interno, a menudo de formas que no se aprecian a simple vista. 

Por ejemplo, los archivos de Microsoft Office 2007 (.docx, .xlsx, .pptx) utilizan estructuras de archivo. Los atacantes se aprovechan de esto creando archivos .pptx que parecen presentaciones estándar de PowerPoint, pero que en realidad son archivos ZIP (que comienzan con la firma 50 4B 03 04). El atacante incrusta una carga maliciosa camuflada como un archivo XML legítimo o una imagen incrustada dentro del archivo. 

Las herramientas de seguridad suelen pasar por alto esta amenaza porque, basándose en la extensión y la estructura del archivo, lo tratan como un .pptx, en lugar de analizar el archivo ZIP subyacente. Aunque herramientas como WinRAR o 7-Zip pueden revelar el contenido del archivo, los escáneres automáticos se centran en el tipo de archivo y pasan por alto la carga útil oculta. 

Los atacantes pueden eludir aún más la detección modificando la estructura interna del archivo ZIP, por ejemplo, utilizando nombres de archivo no estándar u ocultando la carga útil en ubicaciones poco evidentes. Esta táctica aprovecha la flexibilidad del formato ZIP, que permite definir tipos de archivo personalizados, como .pptx, conservando al mismo tiempo la misma firma. 

DWF como archivo ZIP

La estructura del archivo ZIP es un formato muy utilizado que algunos tipos de archivo aprovechan para crear formatos propios, incorporando parte del encabezado del archivo ZIP en su diseño. Por ejemplo, un archivo DWF estándar tiene un encabezado (28 44 57 46 20 56 30 36 2e 30 30 29) seguido de la firma del archivo ZIP [50 4B 03 04), combinando ambos en una única estructura de archivo. Las herramientas de seguridad como 7-Zip suelen extraer archivos ZIP al reconocer la cabecera del archivo como [50 4B 03 04). Sin embargo, en el caso de un archivo DWF, estas herramientas lo tratan como un archivo no comprimido y no intentan extraer su contenido.  

Los atacantes aprovechan este comportamiento creando archivos maliciosos que comienzan con un encabezado que no es de ZIP (como el encabezado DWF), seguido de la firma ZIP y una carga útil oculta. Cuando se abre un archivo de este tipo en un visor DWF, el software lo procesa como un documento legítimo, ignorando los datos ZIP adjuntos y dejando la carga útil inactiva. Sin embargo, si el mismo archivo se procesa con una herramienta de extracción de archivos comprimidos, esta reconoce la firma ZIP, extrae la carga útil y la ejecuta. Muchos escáneres de seguridad y herramientas de extracción no detectan estos archivos comprimidos camuflados porque se basan en el encabezado inicial del archivo para determinar su formato. 

Esta técnica es muy eficaz porque aprovecha una limitación inherente a la forma en que muchas herramientas procesan los encabezados de los archivos. Las herramientas de seguridad que no realizan inspecciones exhaustivas ni analizan más allá del encabezado inicial pueden permitir que el archivo malicioso pase desapercibido y eluda las defensas. 

Extraer y analizar archivos de forma recursiva conMetaDefender OPSWAT MetaDefender

Los entornos empresariales modernos dependen de diversas herramientas —como software antivirus, cortafuegos y sistemas EDR (detección y respuesta en endpoints)— para detectar y bloquear el malware antes de que comprometa su infraestructura crítica. Sin embargo, estas medidas de protección suelen presentar vulnerabilidades que los autores de amenazas aprovechan con frecuencia. Para identificar y contrarrestar eficazmente estas tácticas evasivas, veamos más de cerca cómo laMetaDefender OPSWAT MetaDefender puede configurar de forma flexible sus motores principales, incluidos Metascan™ Multiscanning, Archive Extraction y la tecnología Deep CDR™, para proteger sus sistemas. 

Detección de amenazas en el escenario 1 mediante la extracción estándar de archivos 

Para demostrar la técnica de ataque por concatenación de archivos comprimidos, primero enviamos el archivo ZIP como un archivo comprimido normal y dejamos que los motores antivirus se encarguen de la extracción del ZIP y del análisis en busca de malware. Solo 16 de los 34 motores antivirus son capaces de detectar el malware. 

Un informe de seguridad que indica que un archivo ZIP está infectado, ya que 16 de los 34 motores de análisis han detectado malware

A continuación, añadimos un nivel de complejidad al archivo normal.

Un gráfico que representa un archivo ZIP, en el que se destaca la diferencia entre contenidos maliciosos y benignos

Solo 11 de los 34 motores antivirus detectan el malware. Metascan gestiona este caso de forma eficaz.

Resultado de un análisis de seguridad que indica la presencia de un archivo ZIP infectado, en el que 11 de los 34 motores de análisis han detectado amenazas

Por último, añadimos otra capa al archivo ZIP normal. 

Imagen conceptual que muestra un archivo ZIP que contiene elementos tanto maliciosos como inofensivos

En esta ocasión, solo 7 de los 34 motores antivirus detectan el malware, y los cuatro motores que lo habían detectado anteriormente ya no lo hacen. 

Un análisis de seguridad de un archivo ZIP reveló que 7 de los 34 motores de análisis detectaron malware

También lo probamos utilizando una herramienta externa de extracción de archivos comprimidos. Sin embargo, la herramienta solo comprueba la primera y la última parte del archivo comprimido, por lo que pasa por alto la sección central, donde se encuentra el archivo malicioso. 

Un árbol de archivos que muestra el contenido de un archivo ZIP, incluyendo un PDF y datos JSON

Detección de amenazas del escenario 1 con el motor de extracción OPSWAT

El motor de extracción de archivos descomprime completamente el archivo ZIP, lo que permite a los motores antivirus analizar los archivos anidados.

Un archivo ZIP bloqueado llamado «good_infected_good_1.zip» ha sido marcado como infectado por 7 de los 34 motores de análisis

A continuación se muestra el resultado del análisis de estos archivos anidados: 

Un informe de detección de malware que muestra un archivo ejecutable dentro de un archivo ZIP, en el que 20 de los 34 motores de análisis detectan amenazas

Además, cuando se activa la tecnología Deep CDR™, se genera un nuevo archivo sin el contenido malicioso, tal y como se muestra a continuación: 

Una captura de pantalla en la que se muestran dos documentos de texto depurados extraídos de un archivo ZIP

Detección de amenazas del escenario 2 sin el motor de extracción de archivos 

En primer lugar, subimos a MetaDefender Core un archivo que utiliza las técnicas del escenario 2. El archivo se analiza con Metascan en busca de posible malware. Los resultados son los siguientes: 

Informe de análisis de malware de un archivo .dwf de AutoCAD, marcado como infectado por 2 de los 12 motores de análisis

Solo 2 de los 12 motores antivirus más populares de Metascan son capaces de detectar este malware. Esto significa que un número considerable de organizaciones podría ser vulnerable a ataques que aprovechan estas complejidades del formato de archivo. 

Detección de amenazas del escenario 2 mediante el motor de extracción OPSWAT

5 de los 12 motores antivirus más populares detectan la amenaza en el archivo .dwf.

El motor de extracción de archivos continúa extrayendo el archivo y analiza sus archivos anidados. 

Informe de análisis de seguridad en el que se muestra un archivo malicioso de AutoCAD detectado, con detalles sobre las amenazas, la limpieza y la verificación del archivo

Todos los archivos anidados extraídos se analizan de nuevo con Metascan, donde 9 de los 12 motores antivirus detectan la amenaza. 

Un análisis más detallado de un archivo malicioso de AutoCAD detectado, en el que se muestran los contenidos extraídos del archivo y las evaluaciones de seguridad

Acerca deCore OPSWAT 

Metascan™ Multiscanning

Metascan Multiscanning una tecnología avanzada de detección y prevención de amenazas que aumenta las tasas de detección, reduce los tiempos de detección de brotes y aporta resiliencia a las soluciones antimalware de un solo proveedor. Un único motor antivirus puede detectar entre el 40 % y el 80 % del malware. OPSWAT Multiscanning leMultiscanning analizar archivos con más de 30 motores antimalware, tanto en las instalaciones como en la nube, para alcanzar tasas de detección superiores al 99 %.

Extracción de archivos

Detectar amenazas en archivos comprimidos, como .ZIP o .RAR, puede resultar complicado debido a su gran tamaño y a su capacidad para ocultar amenazas en los archivos comprimidos. MetaDefender un procesamiento rápido de los archivos comprimidos, ya que permite a los administradores configurar el tratamiento de los archivos comprimidos una sola vez para cada tipo de archivo, en lugar de que cada motor antimalware tenga que utilizar sus propios métodos de tratamiento. Además, los administradores pueden personalizar la forma en que se realiza el análisis de los archivos comprimidos para evitar amenazas como las «zip bombs». 

Tecnología Deep CDR™

Las soluciones antivirus tradicionales no detectan las amenazas desconocidas. La tecnología Deep CDR™ las elimina por completo. Cada archivo se desactiva y se regenera, lo que garantiza que solo llegue a sus sistemas contenido seguro, limpio y utilizable. Al centrarse en la prevención en lugar de limitarse a la detección, la tecnología Deep CDR™ mejora las defensas contra el malware, protegiendo a las organizaciones de los ataques basados en archivos, incluidas las amenazas dirigidas. Neutraliza los objetos potencialmente dañinos presentes en los archivos que circulan por el tráfico de red, el correo electrónico, las cargas, las descargas y los soportes portátiles antes de que lleguen a su red.

Detecta amenazas evasivas con la extracción OPSWAT 

Los actores maliciosos son cada vez más ágiles en sus métodos para infiltrarse en los sistemas y sustraer información confidencial. Al utilizar las herramientas adecuadas para detectar y mitigar las brechas de seguridad, las organizaciones pueden impedir que estos adversarios accedan a datos críticos y se desplacen lateralmente por la red. Al utilizar el potente motor de extracción de archivos de MetaDefender Core, puede reforzar sus defensas contra el malware incrustado que podría eludir las herramientas de extracción de los motores antivirus individuales.

OPSWAT MetaDefender Core 

Integra funciones avanzadas de prevención y detección de malware en sus soluciones e infraestructura de TI actuales para gestionar mejor los vectores de ataque habituales, protegiendo los portales web contra ataques de subida de archivos maliciosos, potenciando los productos de ciberseguridad y desarrollando sus propios sistemas de análisis de malware. 

OPSWAT MetaDefender Core 

Integra funciones avanzadas de prevención y detección de malware en sus soluciones e infraestructura de TI actuales para gestionar mejor los vectores de ataque habituales, protegiendo los portales web contra ataques de subida de archivos maliciosos, potenciando los productos de ciberseguridad y desarrollando sus propios sistemas de análisis de malware. 

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.