I criminali informatici scelgono solitamente i file di archivio per nascondere il malware e distribuire le infezioni. Una statistica mostra che il 37% delle estensioni di file dannosi rilevate è un archivio, una percentuale abbastanza simile a quella dei file Office (38%) ma molto più alta di quella dei PDF (14%). È comprensibile perché sono state riscontrate molte vulnerabilità nelle applicazioni di archiviazione. Inoltre, il tipo di file stesso viene utilizzato per nascondere il malware.
Come i criminali informatici nascondono il malware
- Modificare l'intestazione del file della directory centrale in un file zip: Ad alto livello, la struttura di un file zip è piuttosto semplice. Ogni file zip ha un'intestazione centrale che memorizza i metadati e un offset relativo dell'intestazione del file locale.
L'applicazione di decompressione legge l'intestazione centrale per trovare la posizione del contenuto e quindi estrae i dati. Se il file non è elencato nell'intestazione centrale, l'applicazione non è in grado di vederlo e può nascondervi del malware.
- Modifica di un attributo del file nell'intestazione centrale: Esiste un attributo chiamato ExternalFileAttributes che indica se il file locale è un file o una cartella. Modificando questo attributo, è possibile ingannare 7z e fargli vedere un file come una cartella. Di seguito è riportato un normale file zip.
Modificando un byte specifico nel file, 7z vede il nuovo file come una cartella.
È possibile guardare all'interno della cartella come di consueto; nulla sembra essere sospetto.
Nei casi sopra descritti, anche se estratti con 7z, i file estratti non sono più dannosi. Nel primo caso, si riceveranno i file 1 e 2, non il file malware. Nel secondo caso, si riceve una cartella. Allora perché sono pericolosi? Gli aggressori sono intelligenti. Costruiscono scenari per intrappolare le loro vittime. Guardate l'e-mail di phishing qui sotto.
I criminali inviano questa e-mail con un allegato contenente un file zip e uno strumento "decryptor". Lo strumento serve a svolgere compiti semplici, come estrarre il file zip senza tenere conto dei dati di intestazione centrali o trasformare il byte della directory in file ed estrarlo. Apparentemente, con questo comportamento, lo strumento non viene rilevato come malware. Il file maligno estratto può essere rilevato o meno a seconda del software anti-malware utilizzato.
In che modo Deep CDR sanifica le minacce nascoste
Deep CDR segue le specifiche del formato dei file Zip. Esamina l'intestazione centrale ed estrae il file in base a queste informazioni. I dati nascosti non saranno inclusi nel file sanificato. Inoltre, come vantaggio di Deep CDR, il processo sanifica ricorsivamente tutti i file figli. Di conseguenza, produce un file sicuro.
Nel secondo caso, Deep CDR trasforma il file interno in una vera e propria cartella, quindi ciò che si vede è ciò che si ottiene, senza più dati nascosti.
Conclusione
Tra tutte le precauzioni da prendere per proteggere la vostra organizzazione dagli attacchi informatici, la formazione sulla consapevolezza del phishing è di gran lunga la più importante. Se il personale comprende l'aspetto degli attacchi di phishing, a differenza di altre forme di attacchi informatici, il phishing è prevenibile. Tuttavia, affidarsi alla sola formazione sulla sicurezza è insufficiente, perché gli esseri umani commettono errori e la vostra organizzazione non dovrà affrontare solo il phishing, ma anche attacchi informatici molto più avanzati. La protezione multistrato aiuta la vostra organizzazione a essere più sicura. OPSWAT Multiscanning tecnologia massimizza il tasso di rilevamento del malware, offrendo così una possibilità molto più elevata di catturare il malware quando i file vengono estratti. Deep CDR assicura che i file che entrano nella vostra organizzazione non siano dannosi. Inoltre, Deep CDR aiuta a prevenire gli attacchi zero-day. Contattateci oggi stesso per saperne di più sulle tecnologie OPSWAT e per scoprire come proteggere la vostra organizzazione in modo completo.
Riferimento:
