網路犯罪分子通常會選擇 存檔檔 來隱藏惡意軟體並傳播感染。 統計資料 顯示,檢測到的惡意檔案擴展名中有 37% 是存檔,這與 Office 檔 (38%) 非常相似,但遠高於 PDF (14%)。這是可以理解的,因為在存檔應用程式中發現了許多漏洞。此外,檔案類型本身用於隱藏惡意軟體。
網路犯罪分子如何隱藏惡意軟體
- 修改 zip 檔案中的中央目錄檔頭: 概括地說,zip 檔案的結構非常簡單。每個 zip 檔都有一個用於儲存元資料的中央標頭和本地檔案標頭的相對偏移量。
解壓縮應用程式讀取此中心標頭以查找內容的位置,然後提取資料。如果檔未在中央標題中列出,則應用程式無法看到該檔案案,並且惡意軟體可能隱藏在那裡。
- 變更中央標題中的檔案屬性: 有一個名為 ExternalFileAttributes 的屬性,該屬性指示本地檔是檔案還是目錄。透過更改此屬性,您可以欺騙 7z 將檔案案視為資料夾。下面是一個普通的 zip 檔。
透過修改檔案中的特定位元組,7z 將新檔案視為資料夾。
您可以像往常一樣查看資料夾內部;似乎沒有什麼可疑之處。
在上述情況下,即使您使用 7z 提取它們,提取的檔也不再有害。對於第一種情況,您將收到檔 1 和 2,而不是惡意軟體檔。在第二種情況下,您將收到一個資料夾。那為什麼它們很危險呢?攻擊者很聰明。他們建構場景來誘捕受害者。請看下面的網路釣魚電子郵件。
犯罪分子發送這封電子郵件時附有包含zip檔和「解密器」工具的附件。該工具用於簡單的任務,例如提取 zip 檔,而不考慮中央標頭資料,或將目錄位元組轉回檔並提取它。顯然,透過這種行為,該工具不會被檢測為惡意軟體。提取的惡意檔可能會被檢測到,也可能不會被檢測到,具體取決於您使用的反惡意軟體。
如何Deep CDR 清除隱藏的威脅
Deep CDR 遵循 Zip 檔格式規範。它查看中央標頭並根據此資訊提取檔。隱藏的資料不會包含在清理的檔案中。此外,作為 Deep CDR 的一個優勢,該過程還會遞歸清理所有子檔。因此,它會生成一個安全檔。
在第二種情況下,Deep CDR 將裡面的檔更改為一個真實的資料夾,因此您所看到的就是您得到的,不再有隱藏的資料。
總結:關鍵OT系統受到保護 服務不間斷
在保護組織免受網路攻擊所需採取的所有預防措施中,網路釣魚意識培訓可能是迄今為止最重要的。如果您的員工了解網路釣魚攻擊的樣子,與其他形式的網路攻擊不同,網路釣魚是可以預防的。但是,僅僅依靠安全培訓是不夠的,因為人類會犯錯誤,您的組織不僅要面對網路釣魚,還要面對更高階的網路攻擊。多層保護可説明您的組織更加安全。 OPSWAT 多防毒引擎掃描技術 可最大限度地提高惡意軟體檢測率,從而在提取檔時提供更高的機會捕獲惡意軟體。 Deep CDR 可確保進入組織的檔無害。此外,Deep CDR 還有助於防止零時差攻擊。今天 就聯繫我們 ,瞭解更多關於 OPSWAT 技術,並瞭解如何全面保護您的組織。
參考:
