WinRAR è un'utility di archiviazione per Windows usata per comprimere ed estrarre file in formati come RAR e ZIP. Nell'uso normale, è un modo conveniente per spostare grandi raccolte di dati, preservare la struttura delle cartelle e ridurre le dimensioni dei file. Nella sicurezza informatica, però, gli strumenti di archiviazione sono importanti perché l'estrazione non è sempre passiva: archivi creati ad arte possono influenzare dove vengono scritti i file, quali nomi ricevono e se contenuti nascosti vengono rivelati durante la decompressione.
Gli attaccanti abusano di WinRAR inviando archivi armati che sembrano di routine ma contengono loader, script o file di collegamento progettati per eseguirsi dopo l'estrazione. Possono usare il path traversal, nomi di file ingannevoli o gli Alternate Data Streams di NTFS per nascondere payload e dati di staging. I difensori cercano attività insolite di estrazione da archivi, file che compaiono in percorsi di avvio e un uso sospetto delle funzionalità di archiviazione che non dovrebbe essere presente nei normali flussi di lavoro aziendali. Trattare i file compressi come contenuti non attendibili aiuta a ridurre questa superficie di attacco.



