Infractorii cibernetici aleg, de obicei, fișiere de arhivă pentru a ascunde programe malware și a distribui infecții. O statistică arată că 37% din extensiile de fișiere malițioase detectate sunt arhive, ceea ce este destul de asemănător cu fișierele Office (38%), dar mult mai mult decât PDF (14%). Este de înțeles, deoarece au fost găsite multe vulnerabilități în aplicațiile de arhivă. În plus, tipul de fișier în sine este utilizat pentru a ascunde programe malware.
Cum ascund infractorii cibernetici malware-ul
- Modificați antetul fișierului de director central într-un fișier zip: La un nivel înalt, structura unui fișier zip este destul de simplă. Fiecare fișier zip are un antet central care stochează metadatele și un decalaj relativ al antetului local al fișierului.
Aplicația de dezarhivare citește acest antet central pentru a găsi locația conținutului și apoi extrage datele. Dacă fișierul nu este listat în antetul central, atunci aplicația nu poate vedea fișierul respectiv, iar malware-ul poate fi ascuns acolo.
- Modificarea unui atribut de fișier în antetul central: Există un atribut numit ExternalFileAttributes care indică dacă fișierul local este un fișier sau un director. Modificând acest atribut, puteți să păcăliți 7z să considere un fișier ca fiind un dosar. Mai jos este un fișier zip normal.
Prin modificarea unui anumit octet din fișier, 7z consideră noul fișier ca fiind un folder.
Puteți să vă uitați în interiorul dosarului ca de obicei; nimic nu pare a fi suspect.
În cazurile de mai sus, chiar dacă le extrageți cu 7z, fișierele extrase nu mai sunt dăunătoare. Pentru primul caz, veți primi fișierele 1 și 2, nu fișierul malware. În al doilea caz, veți primi un dosar. Atunci de ce sunt periculoase? Atacatorii sunt inteligenți. Ei construiesc scenarii pentru a-și prinde victimele în capcană. Priviți e-mailul de phishing de mai jos.
Infractorii trimit acest e-mail cu un atașament care conține un fișier zip și un instrument "decriptor". Instrumentul este destinat unor sarcini simple, cum ar fi extragerea fișierului zip, indiferent de datele de antet centrale sau transformarea byte-ului de director înapoi în fișier și extragerea acestuia. Aparent, cu acest comportament, instrumentul nu este detectat ca fiind malware. Fișierul malițios extras poate fi sau nu detectat în funcție de software-ul anti-malware pe care l-ați utilizat.
Cum igienizează Deep CDR amenințările ascunse
Deep CDR respectă specificațiile formatului de fișier Zip. Se uită la antetul central și extrage fișierul pe baza acestor informații. Datele ascunse nu vor fi incluse în fișierul sanitizat. De asemenea, ca un avantaj pentru Deep CDR, procesul igienizează recursiv toate fișierele copii. Ca urmare, produce un fișier sigur.
În al doilea caz, Deep CDR schimbă fișierul din interior într-un folder real, astfel încât ceea ce vedeți este ceea ce primiți, fără date ascunse.
Concluzie
Dintre toate măsurile de precauție pe care trebuie să le luați pentru a vă proteja organizația de atacurile cibernetice, instruirea privind conștientizarea phishing-ului poate fi de departe cea mai importantă. Dacă personalul dumneavoastră înțelege cum arată atacurile de tip phishing, spre deosebire de alte forme de atacuri cibernetice, phishing-ul poate fi prevenit. Cu toate acestea, să te bazezi doar pe formarea în domeniul securității este insuficient, deoarece oamenii fac greșeli, iar organizația ta nu se va confrunta doar cu phishing-ul, ci și cu atacuri cibernetice mult mai avansate. Protecția pe mai multe niveluri vă ajută organizația să fie mai sigură. OPSWAT Multiscanning tehnologia maximizează rata de detectare a programelor malware, oferind astfel o șansă mult mai mare de a prinde programele malware atunci când fișierele sunt extrase. Deep CDR asigură că fișierele care intră în organizația dvs. nu sunt dăunătoare. De asemenea, Deep CDR ajută la prevenirea atacurilor de tip zero-day. Contactați-ne astăzi pentru a înțelege mai multe despre tehnologiile OPSWAT și pentru a afla cum să vă protejați organizația în mod cuprinzător.
Referință:
