A kiberbűnözők általában archív fájlokat választanak a rosszindulatú programok elrejtésére és a fertőzések terjesztésére. Egy statisztika azt mutatja, hogy az észlelt rosszindulatú fájlkiterjesztések 37%-a archívum, ami meglehetősen hasonló az Office-fájlokhoz (38%), de sokkal magasabb, mint a PDF (14%). Ez érthető, mivel számos sebezhetőséget találtak az archív alkalmazásokban. Emellett magát a fájltípust is használják a rosszindulatú programok elrejtésére.
Hogyan rejtik el a kiberbűnözők a malware-t
- A központi könyvtárfájl fejlécének módosítása egy zip-fájlban: A zip-fájlok felépítése magas szinten meglehetősen egyszerű. Minden zip-fájlnak van egy központi fejléce, amely a metaadatokat és a helyi fájl fejlécének relatív eltolását tárolja.
Az unzip alkalmazás beolvassa ezt a központi fejlécet, hogy megtalálja a tartalom helyét, majd kivonja az adatokat. Ha a fájl nem szerepel a központi fejlécben, akkor az alkalmazás nem látja azt a fájlt, és a rosszindulatú programok elrejthetők benne.
- Egy fájlattribútum módosítása a központi fejlécben: Van egy ExternalFileAttributes nevű attribútum, amely jelzi, hogy a helyi fájl fájl vagy könyvtár. Ennek az attribútumnak a megváltoztatásával becsaphatjuk a 7z-t, hogy a fájlt mappának tekintse. Az alábbiakban egy normál zip fájlt mutatunk be.
A fájl egy adott bájtjának módosításával a 7z az új fájlt mappának tekinti.
A szokásos módon megnézheti a mappát; semmi sem tűnik gyanúsnak.
A fenti esetekben, még ha a 7z-vel is kicsomagolja őket, a kicsomagolt fájlok már nem károsak. Az első esetben az 1. és a 2. fájlt kapja meg, nem a rosszindulatú fájlt. A második esetben egy mappát fog kapni. Akkor miért veszélyesek? A támadók okosak. Olyan forgatókönyveket készítenek, amelyekkel csapdába csalják az áldozataikat. Nézze meg az alábbi adathalász e-mailt.
A bűnözők ezt az e-mailt egy zip-fájlt és egy "dekódoló" eszközt tartalmazó csatolmánnyal együtt küldik. Az eszköz olyan egyszerű feladatokra szolgál, mint például a zip fájl kicsomagolása a központi fejlécadatoktól függetlenül, vagy a könyvtárbájt visszafordítása fájlba és kicsomagolása. Úgy tűnik, ezzel a viselkedéssel az eszköz nem észlelhető rosszindulatú szoftverként. A kinyert rosszindulatú fájl a használt rosszindulatú programok elleni szoftvertől függően észlelhető vagy nem észlelhető.
Hogyan tisztítja meg a Deep CDR™ technológia a rejtett fenyegetéseket?
A Deep CDR™ technológia a Zip fájlformátum specifikációját követi. Megvizsgálja a központi fejlécet, és ezen információk alapján kivonja a fájlt. A rejtett adatok nem kerülnek bele a megtisztított fájlba. A Deep CDR™ technológia előnye, hogy a folyamat rekurzívan megtisztítja az összes alkönyvtárat is. Ennek eredményeként biztonságos fájlt hoz létre.
A második esetben a Deep CDR™ technológia a fájlt valódi mappává alakítja, így az, amit látsz, az is az, amit kapsz, nincsenek többé rejtett adatok.
Következtetés
Az összes óvintézkedés közül, amelyet a szervezet védelme érdekében meg kell tennie a kibertámadások ellen, a phishing-tudatosságra vonatkozó képzés lehet messze a legfontosabb. Ha a munkatársai megértik, hogy milyenek a phishing-támadások, akkor a phishing – ellentétben más típusú kibertámadásokkal – megelőzhető. Azonban a biztonsági képzésre való támaszkodás önmagában nem elegendő, mert az emberek hibáznak, és a szervezet nem csak phishing-támadásokkal, hanem sokkal fejlettebb kibertámadásokkal is szembesülni fog. A többrétegű védelem segít szervezetének biztonságosabbá válni. Multiscanning OPSWAT Multiscanning maximalizálja a rosszindulatú programok észlelési arányát, így sokkal nagyobb eséllyel fogja el a rosszindulatú programokat, amikor a fájlokat kibontja. A Deep CDR™ technológia biztosítja, hogy a szervezetébe beérkező fájlok ne legyenek károsak. Emellett a Deep CDR™ technológia segít megelőzni a zero-day támadásokat. Vegye fel velünk a kapcsolatot még ma, hogy többet tudjon meg OPSWAT , és megtanulja, hogyan védheti meg szervezetét átfogóan.
Hivatkozás:
