I criminali informatici scelgono solitamente i file di archivio per nascondere il malware e distribuire le infezioni. Una statistica mostra che il 37% delle estensioni di file dannosi rilevate è un archivio, una percentuale abbastanza simile a quella dei file Office (38%) ma molto più alta di quella dei PDF (14%). È comprensibile perché sono state riscontrate molte vulnerabilità nelle applicazioni di archiviazione. Inoltre, il tipo di file stesso viene utilizzato per nascondere il malware.
Come i criminali informatici nascondono il malware
- Modificare l'intestazione del file della directory centrale in un file zip: Ad alto livello, la struttura di un file zip è piuttosto semplice. Ogni file zip ha un'intestazione centrale che memorizza i metadati e un offset relativo dell'intestazione del file locale.
L'applicazione di decompressione legge l'intestazione centrale per trovare la posizione del contenuto e quindi estrae i dati. Se il file non è elencato nell'intestazione centrale, l'applicazione non è in grado di vederlo e può nascondervi del malware.
- Modifica di un attributo del file nell'intestazione centrale: Esiste un attributo chiamato ExternalFileAttributes che indica se il file locale è un file o una cartella. Modificando questo attributo, è possibile ingannare 7z e fargli vedere un file come una cartella. Di seguito è riportato un normale file zip.
Modificando un byte specifico nel file, 7z vede il nuovo file come una cartella.
È possibile guardare all'interno della cartella come di consueto; nulla sembra essere sospetto.
Nei casi sopra descritti, anche se estratti con 7z, i file estratti non sono più dannosi. Nel primo caso, si riceveranno i file 1 e 2, non il file malware. Nel secondo caso, si riceve una cartella. Allora perché sono pericolosi? Gli aggressori sono intelligenti. Costruiscono scenari per intrappolare le loro vittime. Guardate l'e-mail di phishing qui sotto.
I criminali inviano questa e-mail con un allegato contenente un file zip e uno strumento "decryptor". Lo strumento serve a svolgere compiti semplici, come estrarre il file zip senza tenere conto dei dati di intestazione centrali o trasformare il byte della directory in file ed estrarlo. Apparentemente, con questo comportamento, lo strumento non viene rilevato come malware. Il file maligno estratto può essere rilevato o meno a seconda del software anti-malware utilizzato.
Come la tecnologia Deep CDR™ elimina le minacce nascoste
La tecnologia Deep CDR™ segue le specifiche del formato di file Zip. Esamina l'intestazione centrale ed estrae il file sulla base di tali informazioni. I dati nascosti non saranno inclusi nel file ripulito. Inoltre, uno dei vantaggi della tecnologia Deep CDR™ è che il processo ripulisce in modo ricorsivo anche tutti i file secondari. Di conseguenza, si ottiene un file sicuro.
Nel secondo caso, la tecnologia Deep CDR™ trasforma il contenuto del file in una vera e propria cartella, in modo che ciò che vedi sia esattamente ciò che ottieni, senza più dati nascosti.
Conclusione
Tra tutte le precauzioni necessarie per proteggere la vostra organizzazione dagli attacchi informatici, la formazione sulla consapevolezza del phishing è forse di gran lunga la più importante. Se il vostro personale comprende come si presentano gli attacchi di phishing, a differenza di altre forme di attacchi informatici, il phishing è prevenibile. Tuttavia, affidarsi esclusivamente alla formazione sulla sicurezza non è sufficiente, poiché gli esseri umani commettono errori e la vostra organizzazione dovrà affrontare non solo il phishing, ma anche attacchi informatici ben più sofisticati. Una protezione multistrato aiuta la vostra organizzazione a essere più sicura. Multiscanning OPSWAT Multiscanning massimizza il tasso di rilevamento del malware, offrendo così una probabilità molto più alta di intercettare il malware quando i file vengono estratti. La tecnologia Deep CDR™ garantisce che i file in entrata nella vostra organizzazione non siano dannosi. Inoltre, la tecnologia Deep CDR™ aiuta a prevenire gli attacchi zero-day. Contattateci oggi stesso per saperne di più sulle OPSWAT e scoprire come proteggere la vostra organizzazione in modo completo.
Riferimento:
