Infractorii cibernetici aleg, de obicei, fișiere de arhivă pentru a ascunde programe malware și a distribui infecții. O statistică arată că 37% din extensiile de fișiere malițioase detectate sunt arhive, ceea ce este destul de asemănător cu fișierele Office (38%), dar mult mai mult decât PDF (14%). Este de înțeles, deoarece au fost găsite multe vulnerabilități în aplicațiile de arhivă. În plus, tipul de fișier în sine este utilizat pentru a ascunde programe malware.
Cum ascund infractorii cibernetici malware-ul
- Modificați antetul fișierului de director central într-un fișier zip: La un nivel înalt, structura unui fișier zip este destul de simplă. Fiecare fișier zip are un antet central care stochează metadatele și un decalaj relativ al antetului local al fișierului.
Aplicația de dezarhivare citește acest antet central pentru a găsi locația conținutului și apoi extrage datele. Dacă fișierul nu este listat în antetul central, atunci aplicația nu poate vedea fișierul respectiv, iar malware-ul poate fi ascuns acolo.
- Modificarea unui atribut de fișier în antetul central: Există un atribut numit ExternalFileAttributes care indică dacă fișierul local este un fișier sau un director. Modificând acest atribut, puteți să păcăliți 7z să considere un fișier ca fiind un dosar. Mai jos este un fișier zip normal.
Prin modificarea unui anumit octet din fișier, 7z consideră noul fișier ca fiind un folder.
Puteți să vă uitați în interiorul dosarului ca de obicei; nimic nu pare a fi suspect.
În cazurile de mai sus, chiar dacă le extrageți cu 7z, fișierele extrase nu mai sunt dăunătoare. Pentru primul caz, veți primi fișierele 1 și 2, nu fișierul malware. În al doilea caz, veți primi un dosar. Atunci de ce sunt periculoase? Atacatorii sunt inteligenți. Ei construiesc scenarii pentru a-și prinde victimele în capcană. Priviți e-mailul de phishing de mai jos.
Infractorii trimit acest e-mail cu un atașament care conține un fișier zip și un instrument "decriptor". Instrumentul este destinat unor sarcini simple, cum ar fi extragerea fișierului zip, indiferent de datele de antet centrale sau transformarea byte-ului de director înapoi în fișier și extragerea acestuia. Aparent, cu acest comportament, instrumentul nu este detectat ca fiind malware. Fișierul malițios extras poate fi sau nu detectat în funcție de software-ul anti-malware pe care l-ați utilizat.
Cum elimină tehnologia Deep CDR™ amenințările ascunse
Tehnologia Deep CDR™ respectă specificațiile formatului de fișier Zip. Aceasta analizează antetul central și extrage fișierul pe baza acestor informații. Datele ascunse nu vor fi incluse în fișierul curățat. De asemenea, un avantaj al tehnologiei Deep CDR™ este faptul că procesul curăță recursiv toate fișierele secundare. Drept urmare, se obține un fișier sigur.
În cel de-al doilea caz, tehnologia Deep CDR™ transformă conținutul fișierului într-un dosar real, astfel încât ceea ce vezi este exact ceea ce primești, fără date ascunse.
Concluzie
Dintre toate măsurile de precauție pe care trebuie să le luați pentru a vă proteja organizația împotriva atacurilor cibernetice, instruirea privind conștientizarea phishingului este, de departe, cea mai importantă. Dacă angajații dumneavoastră înțeleg cum arată atacurile de phishing, spre deosebire de alte forme de atacuri cibernetice, phishingul poate fi prevenit. Cu toate acestea, a vă baza doar pe instruirea în materie de securitate nu este suficient, deoarece oamenii fac greșeli, iar organizația dumneavoastră se va confrunta nu doar cu phishingul, ci și cu atacuri cibernetice mult mai sofisticate. Protecția pe mai multe niveluri ajută organizația dvs. să fie mai sigură. Multiscanning OPSWAT Multiscanning maximizează rata de detectare a malware-ului, oferind astfel o șansă mult mai mare de a detecta malware-ul atunci când fișierele sunt extrase. Tehnologia Deep CDR™ asigură că fișierele care intră în organizația dvs. nu sunt dăunătoare. De asemenea, tehnologia Deep CDR™ ajută la prevenirea atacurilor de tip zero-day. Contactați-ne astăzi pentru a afla mai multe despre OPSWAT și pentru a afla cum să vă protejați organizația în mod cuprinzător.
Referință:
