Cyberkriminelle wählen in der Regel Archivdateien, um Malware zu verstecken und Infektionen zu verbreiten. Eine Statistik zeigt, dass 37 % der entdeckten bösartigen Dateierweiterungen Archive sind. Das ist ähnlich wie bei Office-Dateien (38 %), aber viel mehr als bei PDF-Dateien (14 %). Dies ist verständlich, da viele Schwachstellen in Archivanwendungen gefunden wurden. Außerdem wird der Dateityp selbst verwendet, um Malware zu verstecken.
Wie Cyberkriminelle die Malware verstecken
- Ändern Sie den Header der zentralen Verzeichnisdatei in einer Zip-Datei: Die Struktur einer Zip-Datei ist im Großen und Ganzen recht einfach. Jede Zip-Datei hat einen zentralen Header, in dem Metadaten und ein relativer Offset des lokalen Dateiheaders gespeichert sind.
Die Entpackungsanwendung liest diese zentrale Kopfzeile, um den Speicherort des Inhalts zu ermitteln, und extrahiert dann die Daten. Wenn die Datei nicht in der zentralen Kopfzeile aufgeführt ist, kann die Anwendung diese Datei nicht sehen, und Malware kann dort versteckt sein.
- Ändern Sie ein Dateiattribut in der zentralen Kopfzeile: Es gibt ein Attribut namens ExternalFileAttributes, das angibt, ob die lokale Datei eine Datei oder ein Verzeichnis ist. Wenn Sie dieses Attribut ändern, können Sie 7z dazu bringen, eine Datei als Ordner zu betrachten. Nachfolgend sehen Sie eine normale Zip-Datei.
Wenn Sie ein bestimmtes Byte in der Datei ändern, sieht 7z die neue Datei als einen Ordner an.
Sie können den Ordner wie üblich durchsuchen; nichts scheint verdächtig zu sein.
In den oben genannten Fällen sind die extrahierten Dateien, auch wenn Sie sie mit 7z entpacken, nicht mehr schädlich. Im ersten Fall erhalten Sie die Dateien 1 und 2, nicht die Malware-Datei. Im zweiten Fall erhalten Sie einen Ordner. Warum sind sie dann gefährlich? Die Angreifer sind schlau. Sie bauen Szenarien auf, um ihre Opfer in die Falle zu locken. Sehen Sie sich die folgende Phishing-E-Mail an.
Die Kriminellen versenden diese E-Mail mit einem Anhang, der eine Zip-Datei und ein "Entschlüsselungs"-Tool enthält. Das Tool dient für einfache Aufgaben wie das Extrahieren der Zip-Datei ohne Rücksicht auf die zentralen Header-Daten oder das Zurückverwandeln des Verzeichnisbytes in eine Datei und das Extrahieren derselben. Offensichtlich wird das Tool aufgrund dieses Verhaltens nicht als Malware erkannt. Die extrahierte bösartige Datei kann je nach verwendeter Anti-Malware-Software erkannt werden oder auch nicht.
Wie Deep CDR die versteckten Bedrohungen beseitigt
Deep CDR folgt der Spezifikation des Zip-Dateiformats. Es prüft den zentralen Header und extrahiert die Datei auf der Grundlage dieser Informationen. Die versteckten Daten werden nicht in die bereinigte Datei aufgenommen. Ein weiterer Vorteil gegenüber Deep CDR ist, dass der Prozess auch alle Unterdateien rekursiv säubert. Als Ergebnis wird eine sichere Datei erzeugt.
Im zweiten Fall verwandelt Deep CDR die Datei darin in einen echten Ordner, so dass Sie nur das sehen, was Sie auch bekommen, keine versteckten Daten mehr.
Schlussfolgerung
Von allen Vorkehrungen, die Sie treffen müssen, um Ihr Unternehmen vor Cyberangriffen zu schützen, ist die Schulung zur Sensibilisierung für Phishing mit Abstand die wichtigste. Wenn Ihre Mitarbeiter verstehen, wie Phishing-Angriffe aussehen, ist Phishing im Gegensatz zu anderen Formen von Cyberangriffen vermeidbar. Sich allein auf Sicherheitsschulungen zu verlassen, ist jedoch unzureichend, denn Menschen machen Fehler, und Ihr Unternehmen wird nicht nur mit Phishing, sondern auch mit weitaus fortgeschritteneren Cyberangriffen konfrontiert. Ein mehrschichtiger Schutz hilft Ihrem Unternehmen, sicherer zu werden. OPSWAT Multiscanning Technologie maximiert Ihre Malware-Erkennungsrate und bietet damit eine viel höhere Chance, Malware zu erkennen, wenn Dateien extrahiert werden. Deep CDR So wird sichergestellt, dass Dateien, die in Ihr Unternehmen gelangen, nicht schädlich sind. Außerdem hilft Deep CDR dabei, Zero-Day-Angriffe zu verhindern. Setzen Sie sich noch heute mit uns in Verbindung, wenn Sie mehr über die Technologien von OPSWAT erfahren möchten, und lernen Sie, wie Sie Ihr Unternehmen umfassend schützen können.
Referenz:
