Os cibercriminosos escolhem normalmente ficheiros de arquivo para esconder malware e distribuir infecções. Uma estatística mostra que 37% das extensões de ficheiros maliciosos detectados são ficheiros de arquivo, o que é bastante semelhante aos ficheiros do Office (38%), mas muito superior aos PDF (14%). É compreensível porque foram encontradas muitas vulnerabilidades em aplicações de arquivo. Além disso, o próprio tipo de ficheiro é utilizado para esconder malware.
Como é que os cibercriminosos escondem o malware
- Modificar o cabeçalho do ficheiro do diretório central num ficheiro zip: Num nível elevado, a estrutura de um ficheiro zip é bastante simples. Cada ficheiro zip tem um cabeçalho central que armazena metadados e um deslocamento relativo do cabeçalho do ficheiro local.
A aplicação de descompressão lê este cabeçalho central para encontrar a localização do conteúdo e depois extrai os dados. Se o ficheiro não estiver listado no cabeçalho central, a aplicação não consegue ver esse ficheiro e o malware pode estar aí escondido.
- Alterar um atributo de ficheiro no cabeçalho central: Existe um atributo chamado ExternalFileAttributes que indica se o ficheiro local é um ficheiro ou um diretório. Alterando esse atributo, é possível enganar o 7z para que ele veja um arquivo como uma pasta. Abaixo está um ficheiro zip normal.
Ao modificar um byte específico no ficheiro, o 7z vê o novo ficheiro como uma pasta.
Pode ver o interior da pasta como habitualmente; nada parece ser suspeito.
Nos casos acima, apesar de os ter extraído com o 7z, os ficheiros extraídos já não são prejudiciais. No primeiro caso, receberá os ficheiros 1 e 2, não o ficheiro malicioso. No segundo caso, receberá uma pasta. Então porque é que são perigosos? Os atacantes são inteligentes. Criam cenários para apanhar as suas vítimas. Veja o e-mail de phishing que se segue.
Os criminosos enviam este e-mail com um anexo que contém um ficheiro zip e uma ferramenta de "desencriptação". A ferramenta destina-se a tarefas simples, como extrair o ficheiro zip independentemente dos dados do cabeçalho central ou transformar o byte do diretório em ficheiro e extraí-lo. Aparentemente, com este comportamento, a ferramenta não é detectada como malware. Aparentemente, com este comportamento, a ferramenta não é detectada como malware. O ficheiro malicioso extraído pode ou não ser detectado, dependendo do software anti-malware utilizado.
Como é que o Deep CDR higieniza as ameaças ocultas
Deep CDR segue a especificação do formato de ficheiro Zip. Examina o cabeçalho central e extrai o ficheiro com base nesta informação. Os dados ocultos não serão incluídos no ficheiro higienizado. Além disso, como uma vantagem para Deep CDR, o processo também sanitiza recursivamente todos os ficheiros filhos. Como resultado, produz um ficheiro seguro.
No segundo caso, Deep CDR transforma o ficheiro numa pasta real, pelo que o que vê é o que obtém, sem dados ocultos.
Conclusão
De todas as precauções que precisa de tomar para proteger a sua organização de ciberataques, a formação de sensibilização para o phishing pode ser, de longe, a mais importante. Se o seu pessoal compreender o aspeto dos ataques de phishing, ao contrário de outras formas de ciberataques, o phishing pode ser evitado. No entanto, confiar apenas na formação de segurança é insuficiente, porque os humanos cometem erros e a sua organização não só terá de enfrentar o phishing, mas também ciberataques muito mais avançados. A proteção multicamada ajuda a sua organização a ser mais segura. OPSWAT A tecnologiaMultiscanning maximiza a sua taxa de deteção de malware, proporcionando assim uma probabilidade muito maior de apanhar malware quando os ficheiros são extraídos. Deep CDR garante que os ficheiros que entram na sua organização não são prejudiciais. Além disso, o Deep CDR ajuda a evitar ataques de dia zero. Contacte-nos hoje para saber mais sobre as tecnologias OPSWAT e saber como proteger a sua organização de forma abrangente.
Referência:
