網路犯罪分子通常會選擇 存檔檔 來隱藏惡意軟體並傳播感染。 統計資料 顯示,檢測到的惡意檔案擴展名中有 37% 是存檔,這與 Office 檔 (38%) 非常相似,但遠高於 PDF (14%)。這是可以理解的,因為在存檔應用程式中發現了許多漏洞。此外,檔案類型本身用於隱藏惡意軟體。
網路犯罪分子如何隱藏惡意軟體
- 修改 zip 檔案中的中央目錄檔頭: 概括地說,zip 檔案的結構非常簡單。每個 zip 檔都有一個用於儲存元資料的中央標頭和本地檔案標頭的相對偏移量。
解壓縮應用程式讀取此中心標頭以查找內容的位置,然後提取資料。如果檔未在中央標題中列出,則應用程式無法看到該檔案案,並且惡意軟體可能隱藏在那裡。
- 變更中央標題中的檔案屬性: 有一個名為 ExternalFileAttributes 的屬性,該屬性指示本地檔是檔案還是目錄。透過更改此屬性,您可以欺騙 7z 將檔案案視為資料夾。下面是一個普通的 zip 檔。
透過修改檔案中的特定位元組,7z 將新檔案視為資料夾。
您可以像往常一樣查看資料夾內部;似乎沒有什麼可疑之處。
在上述情況下,即使您使用 7z 提取它們,提取的檔也不再有害。對於第一種情況,您將收到檔 1 和 2,而不是惡意軟體檔。在第二種情況下,您將收到一個資料夾。那為什麼它們很危險呢?攻擊者很聰明。他們建構場景來誘捕受害者。請看下面的網路釣魚電子郵件。
犯罪分子發送這封電子郵件時附有包含zip檔和「解密器」工具的附件。該工具用於簡單的任務,例如提取 zip 檔,而不考慮中央標頭資料,或將目錄位元組轉回檔並提取它。顯然,透過這種行為,該工具不會被檢測為惡意軟體。提取的惡意檔可能會被檢測到,也可能不會被檢測到,具體取決於您使用的反惡意軟體。
How Deep CDR™ 技術如何清除隱藏的威脅
Deep CDR™ 技術遵循 ZIP 檔案格式規範。它會檢視中央標頭,並根據這些資訊提取檔案。隱藏資料將不會包含在已清理的檔案中。此外,Deep CDR™ 技術的優勢在於,該流程還會遞迴清理所有子檔案。因此,最終產生的檔案是安全的。
在第二種情況下,Deep CDR™ 技術會將檔案內部轉換為真正的資料夾,因此您所見即所得,不再有隱藏資料。
總結:關鍵OT系統受到保護 服務不間斷
在所有為保護組織免受網路攻擊而需採取的預防措施中,釣魚攻擊意識培訓或許是迄今為止最重要的。如果您的員工了解釣魚攻擊的表現形式,與其他形式的網路攻擊不同,釣魚攻擊是可預防的。然而,僅依賴安全培訓是不夠的,因為人難免會犯錯,而且您的組織不僅會面臨釣魚攻擊,還會遭遇更為先進的網路攻擊。 多層次防護能為您的組織提供更強大的安全保障。OPSWAT Multiscanning 可將惡意軟體偵測率提升至最高,從而大幅提高在檔案解壓縮時攔截惡意軟體的機率。Deep CDR™ 技術則能確保進入組織的檔案均無害。此外,Deep CDR™ 技術亦有助於防範零日攻擊。立即聯絡我們,深入了解OPSWAT ,並學習如何全面保護您的組織。
參考:
