Infractorii cibernetici aleg, de obicei, fișiere de arhivă pentru a ascunde programe malware și a distribui infecții. O statistică arată că 37% din extensiile de fișiere malițioase detectate sunt arhive, ceea ce este destul de asemănător cu fișierele Office (38%), dar mult mai mult decât PDF (14%). Este de înțeles, deoarece au fost găsite multe vulnerabilități în aplicațiile de arhivă. În plus, tipul de fișier în sine este utilizat pentru a ascunde programe malware.
Cum ascund infractorii cibernetici malware-ul
- Modificați antetul fișierului de director central într-un fișier zip: La un nivel înalt, structura unui fișier zip este destul de simplă. Fiecare fișier zip are un antet central care stochează metadatele și un decalaj relativ al antetului local al fișierului.
Aplicația de dezarhivare citește acest antet central pentru a găsi locația conținutului și apoi extrage datele. Dacă fișierul nu este listat în antetul central, atunci aplicația nu poate vedea fișierul respectiv, iar malware-ul poate fi ascuns acolo.
- Modificarea unui atribut de fișier în antetul central: Există un atribut numit ExternalFileAttributes care indică dacă fișierul local este un fișier sau un director. Modificând acest atribut, puteți să păcăliți 7z să considere un fișier ca fiind un dosar. Mai jos este un fișier zip normal.
Prin modificarea unui anumit octet din fișier, 7z consideră noul fișier ca fiind un folder.
Puteți să vă uitați în interiorul dosarului ca de obicei; nimic nu pare a fi suspect.
În cazurile de mai sus, chiar dacă le extrageți cu 7z, fișierele extrase nu mai sunt dăunătoare. Pentru primul caz, veți primi fișierele 1 și 2, nu fișierul malware. În al doilea caz, veți primi un dosar. Atunci de ce sunt periculoase? Atacatorii sunt inteligenți. Ei construiesc scenarii pentru a-și prinde victimele în capcană. Priviți e-mailul de phishing de mai jos.
Infractorii trimit acest e-mail cu un atașament care conține un fișier zip și un instrument "decriptor". Instrumentul este destinat unor sarcini simple, cum ar fi extragerea fișierului zip, indiferent de datele de antet centrale sau transformarea byte-ului de director înapoi în fișier și extragerea acestuia. Aparent, cu acest comportament, instrumentul nu este detectat ca fiind malware. Fișierul malițios extras poate fi sau nu detectat în funcție de software-ul anti-malware pe care l-ați utilizat.
How Deep CDR™ Technology sanitizes the hidden threats
Deep CDR™ Technology follows the Zip File Format Specification. It looks at the central header and extracts the file based on this info. The hidden data will not be included in the sanitized file. Also, as an advantage to Deep CDR™ Technology, the process also recursively sanitizes all children files. As a result, it produces a safe file.
In the second case, Deep CDR™ Technology changes the file inside into a real folder so what you see is what you get, no hidden data anymore.
Concluzie
Of all the precautions you need to take to protect your organization from cyberattacks, phishing awareness training may be the most important by far. If your staff understand what phishing attacks look like, unlike other forms of cyberattacks, phishing is preventable. However, relying on security training alone is insufficient because humans make mistakes, and your organization will not only confront phishing but also far more advanced cyberattacks. Multi-layer protection helps your organization to be more secure. OPSWAT Multiscanning technology maximizes your malware detection rate, thereby providing a much higher chance to catch malware when files are extracted. Deep CDR™ Technology ensures files coming into your organization are not harmful. Also, Deep CDR™ Technology helps to prevent zero-day attacks. Contact us today to understand more about OPSWAT technologies, and learn how to protect your organization comprehensively.
Referință:
