A kiberbűnözők általában archív fájlokat választanak a rosszindulatú programok elrejtésére és a fertőzések terjesztésére. Egy statisztika azt mutatja, hogy az észlelt rosszindulatú fájlkiterjesztések 37%-a archívum, ami meglehetősen hasonló az Office-fájlokhoz (38%), de sokkal magasabb, mint a PDF (14%). Ez érthető, mivel számos sebezhetőséget találtak az archív alkalmazásokban. Emellett magát a fájltípust is használják a rosszindulatú programok elrejtésére.
Hogyan rejtik el a kiberbűnözők a malware-t
- A központi könyvtárfájl fejlécének módosítása egy zip-fájlban: A zip-fájlok felépítése magas szinten meglehetősen egyszerű. Minden zip-fájlnak van egy központi fejléce, amely a metaadatokat és a helyi fájl fejlécének relatív eltolását tárolja.
Az unzip alkalmazás beolvassa ezt a központi fejlécet, hogy megtalálja a tartalom helyét, majd kivonja az adatokat. Ha a fájl nem szerepel a központi fejlécben, akkor az alkalmazás nem látja azt a fájlt, és a rosszindulatú programok elrejthetők benne.
- Egy fájlattribútum módosítása a központi fejlécben: Van egy ExternalFileAttributes nevű attribútum, amely jelzi, hogy a helyi fájl fájl vagy könyvtár. Ennek az attribútumnak a megváltoztatásával becsaphatjuk a 7z-t, hogy a fájlt mappának tekintse. Az alábbiakban egy normál zip fájlt mutatunk be.
A fájl egy adott bájtjának módosításával a 7z az új fájlt mappának tekinti.
A szokásos módon megnézheti a mappát; semmi sem tűnik gyanúsnak.
A fenti esetekben, még ha a 7z-vel is kicsomagolja őket, a kicsomagolt fájlok már nem károsak. Az első esetben az 1. és a 2. fájlt kapja meg, nem a rosszindulatú fájlt. A második esetben egy mappát fog kapni. Akkor miért veszélyesek? A támadók okosak. Olyan forgatókönyveket készítenek, amelyekkel csapdába csalják az áldozataikat. Nézze meg az alábbi adathalász e-mailt.
A bűnözők ezt az e-mailt egy zip-fájlt és egy "dekódoló" eszközt tartalmazó csatolmánnyal együtt küldik. Az eszköz olyan egyszerű feladatokra szolgál, mint például a zip fájl kicsomagolása a központi fejlécadatoktól függetlenül, vagy a könyvtárbájt visszafordítása fájlba és kicsomagolása. Úgy tűnik, ezzel a viselkedéssel az eszköz nem észlelhető rosszindulatú szoftverként. A kinyert rosszindulatú fájl a használt rosszindulatú programok elleni szoftvertől függően észlelhető vagy nem észlelhető.
Hogyan szanálja a Deep CDR a rejtett fenyegetéseket
Deep CDR követi a Zip fájlformátum specifikációt. Megnézi a központi fejlécet, és ez alapján kicsomagolja a fájlt. A rejtett adatok nem kerülnek bele a szanált fájlba. Továbbá, a Deep CDR előnye, hogy a folyamat rekurzívan szanálja az összes gyermekfájlt is. Ennek eredményeképpen biztonságos fájlt hoz létre.
A második esetben a Deep CDR a benne lévő fájlt valódi mappává változtatja, így amit lát, azt kapja, nincs többé rejtett adat.
Következtetés
Az összes óvintézkedés közül, amelyet szervezetének a kibertámadások elleni védelme érdekében meg kell tennie, az adathalászatra vonatkozó tudatossági képzés lehet messze a legfontosabb. Ha munkatársai megértik, hogyan néznek ki az adathalász-támadások, a kibertámadások más formáival ellentétben az adathalászat megelőzhető. Azonban önmagában a biztonsági képzésre hagyatkozni nem elegendő, mert az emberek hibáznak, és az Ön szervezete nemcsak az adathalászattal, hanem sokkal fejlettebb kibertámadásokkal is szembesülni fog. A többrétegű védelem segít szervezetének biztonságosabbá válni. OPSWAT A többszörös pásztázási technológia maximalizálja a rosszindulatú programok felismerési arányát, ezáltal sokkal nagyobb esélyt biztosít a rosszindulatú programok elkapására a fájlok kinyerésekor. A mély CDR biztosítja, hogy a szervezetébe érkező fájlok ne legyenek károsak. Emellett a Deep CDR segít megelőzni a nulladik napi támadásokat. Lépjen kapcsolatba velünk még ma, ha többet szeretne megtudni az OPSWAT technológiákról, és megtudhatja, hogyan védheti meg szervezetét átfogóan.
Hivatkozás:
