Cyberkriminelle wählen in der Regel Archivdateien, um Malware zu verstecken und Infektionen zu verbreiten. Eine Statistik zeigt, dass 37 % der entdeckten bösartigen Dateierweiterungen Archive sind. Das ist ähnlich wie bei Office-Dateien (38 %), aber viel mehr als bei PDF-Dateien (14 %). Dies ist verständlich, da viele Schwachstellen in Archivanwendungen gefunden wurden. Außerdem wird der Dateityp selbst verwendet, um Malware zu verstecken.
Wie Cyberkriminelle die Malware verstecken
- Ändern Sie den Header der zentralen Verzeichnisdatei in einer Zip-Datei: Die Struktur einer Zip-Datei ist im Großen und Ganzen recht einfach. Jede Zip-Datei hat einen zentralen Header, in dem Metadaten und ein relativer Offset des lokalen Dateiheaders gespeichert sind.
Die Entpackungsanwendung liest diese zentrale Kopfzeile, um den Speicherort des Inhalts zu ermitteln, und extrahiert dann die Daten. Wenn die Datei nicht in der zentralen Kopfzeile aufgeführt ist, kann die Anwendung diese Datei nicht sehen, und Malware kann dort versteckt sein.
- Ändern Sie ein Dateiattribut in der zentralen Kopfzeile: Es gibt ein Attribut namens ExternalFileAttributes, das angibt, ob die lokale Datei eine Datei oder ein Verzeichnis ist. Wenn Sie dieses Attribut ändern, können Sie 7z dazu bringen, eine Datei als Ordner zu betrachten. Nachfolgend sehen Sie eine normale Zip-Datei.
Wenn Sie ein bestimmtes Byte in der Datei ändern, sieht 7z die neue Datei als einen Ordner an.
Sie können den Ordner wie üblich durchsuchen; nichts scheint verdächtig zu sein.
In den oben genannten Fällen sind die extrahierten Dateien, auch wenn Sie sie mit 7z entpacken, nicht mehr schädlich. Im ersten Fall erhalten Sie die Dateien 1 und 2, nicht die Malware-Datei. Im zweiten Fall erhalten Sie einen Ordner. Warum sind sie dann gefährlich? Die Angreifer sind schlau. Sie bauen Szenarien auf, um ihre Opfer in die Falle zu locken. Sehen Sie sich die folgende Phishing-E-Mail an.
Die Kriminellen versenden diese E-Mail mit einem Anhang, der eine Zip-Datei und ein "Entschlüsselungs"-Tool enthält. Das Tool dient für einfache Aufgaben wie das Extrahieren der Zip-Datei ohne Rücksicht auf die zentralen Header-Daten oder das Zurückverwandeln des Verzeichnisbytes in eine Datei und das Extrahieren derselben. Offensichtlich wird das Tool aufgrund dieses Verhaltens nicht als Malware erkannt. Die extrahierte bösartige Datei kann je nach verwendeter Anti-Malware-Software erkannt werden oder auch nicht.
Wie Deep CDR™-Technologie versteckte Bedrohungen beseitigt
Die Deep CDR™-Technologie folgt der Zip-Dateiformat-Spezifikation. Sie untersucht den zentralen Header und extrahiert die Datei auf Grundlage dieser Informationen. Die versteckten Daten werden nicht in die bereinigte Datei übernommen. Ein weiterer Vorteil der Deep CDR™-Technologie besteht darin, dass der Prozess auch alle untergeordneten Dateien rekursiv bereinigt. Das Ergebnis ist eine sichere Datei.
Im zweiten Fall wandelt die Deep CDR™-Technologie die Datei im Inneren in einen echten Ordner um, sodass Sie sehen, was Sie bekommen, und keine versteckten Daten mehr vorhanden sind.
Schlussfolgerung
Von allen Vorsichtsmaßnahmen, die Sie zum Schutz Ihres Unternehmens vor Cyberangriffen treffen müssen, ist die Schulung zum Thema Phishing-Bewusstsein möglicherweise die mit Abstand wichtigste. Wenn Ihre Mitarbeiter wissen, wie Phishing-Angriffe aussehen, lassen sich Phishing-Angriffe im Gegensatz zu anderen Formen von Cyberangriffen verhindern. Sich allein auf Sicherheitsschulungen zu verlassen, reicht jedoch nicht aus, da Menschen Fehler machen und Ihr Unternehmen nicht nur mit Phishing, sondern auch mit weitaus komplexeren Cyberangriffen konfrontiert sein wird. Mehrschichtiger Schutz trägt zur Sicherheit Ihres Unternehmens bei. Multiscanning OPSWAT maximiert Ihre Malware-Erkennungsrate und bietet Ihnen somit eine viel höhere Chance, Malware beim Extrahieren von Dateien zu erkennen. Die Deep CDR™-Technologie stellt sicher, dass Dateien, die in Ihr Unternehmen gelangen, nicht schädlich sind. Außerdem hilft die Deep CDR™-Technologie dabei, Zero-Day-Angriffe zu verhindern. Kontaktieren Sie uns noch heute, um mehr über OPSWAT zu erfahren und zu erfahren, wie Sie Ihr Unternehmen umfassend schützen können.
Referenz:
