Os cibercriminosos escolhem normalmente ficheiros de arquivo para esconder malware e distribuir infecções. Uma estatística mostra que 37% das extensões de ficheiros maliciosos detectados são ficheiros de arquivo, o que é bastante semelhante aos ficheiros do Office (38%), mas muito superior aos PDF (14%). É compreensível porque foram encontradas muitas vulnerabilidades em aplicações de arquivo. Além disso, o próprio tipo de ficheiro é utilizado para esconder malware.
Como é que os cibercriminosos escondem o malware
- Modificar o cabeçalho do ficheiro do diretório central num ficheiro zip: Num nível elevado, a estrutura de um ficheiro zip é bastante simples. Cada ficheiro zip tem um cabeçalho central que armazena metadados e um deslocamento relativo do cabeçalho do ficheiro local.
A aplicação de descompressão lê este cabeçalho central para encontrar a localização do conteúdo e depois extrai os dados. Se o ficheiro não estiver listado no cabeçalho central, a aplicação não consegue ver esse ficheiro e o malware pode estar aí escondido.
- Alterar um atributo de ficheiro no cabeçalho central: Existe um atributo chamado ExternalFileAttributes que indica se o ficheiro local é um ficheiro ou um diretório. Alterando esse atributo, é possível enganar o 7z para que ele veja um arquivo como uma pasta. Abaixo está um ficheiro zip normal.
Ao modificar um byte específico no ficheiro, o 7z vê o novo ficheiro como uma pasta.
Pode ver o interior da pasta como habitualmente; nada parece ser suspeito.
Nos casos acima, apesar de os ter extraído com o 7z, os ficheiros extraídos já não são prejudiciais. No primeiro caso, receberá os ficheiros 1 e 2, não o ficheiro malicioso. No segundo caso, receberá uma pasta. Então porque é que são perigosos? Os atacantes são inteligentes. Criam cenários para apanhar as suas vítimas. Veja o e-mail de phishing que se segue.
Os criminosos enviam este e-mail com um anexo que contém um ficheiro zip e uma ferramenta de "desencriptação". A ferramenta destina-se a tarefas simples, como extrair o ficheiro zip independentemente dos dados do cabeçalho central ou transformar o byte do diretório em ficheiro e extraí-lo. Aparentemente, com este comportamento, a ferramenta não é detectada como malware. Aparentemente, com este comportamento, a ferramenta não é detectada como malware. O ficheiro malicioso extraído pode ou não ser detectado, dependendo do software anti-malware utilizado.
Como a tecnologia Deep CDR™ elimina as ameaças ocultas
A tecnologia Deep CDR™ segue a especificação do formato de ficheiro Zip. Analisa o cabeçalho central e extrai o ficheiro com base nessa informação. Os dados ocultos não serão incluídos no ficheiro limpo. Além disso, como vantagem da tecnologia Deep CDR™, o processo também limpa recursivamente todos os ficheiros secundários. Como resultado, produz um ficheiro seguro.
No segundo caso, a tecnologia Deep CDR™ transforma o ficheiro no seu interior numa pasta real, pelo que o que vê é o que obtém, sem dados ocultos.
Conclusão
De todas as precauções que precisa tomar para proteger a sua organização contra ciberataques, a formação sobre phishing é, de longe, a mais importante. Se os seus colaboradores compreenderem como se apresentam os ataques de phishing, ao contrário de outras formas de ciberataques, o phishing é evitável. No entanto, confiar apenas na formação em segurança não é suficiente, pois os seres humanos cometem erros e a sua organização irá enfrentar não só o phishing, mas também ciberataques muito mais avançados. A proteção em várias camadas ajuda a sua organização a estar mais segura. Multiscanning OPSWAT Multiscanning maximiza a sua taxa de deteção de malware, proporcionando assim uma probabilidade muito maior de detetar malware quando os ficheiros são extraídos. A tecnologia Deep CDR™ garante que os ficheiros que entram na sua organização não são prejudiciais. Além disso, a tecnologia Deep CDR™ ajuda a prevenir ataques de dia zero. Contacte-nos hoje para saber mais sobre OPSWAT e aprender como proteger a sua organização de forma abrangente.
Referência:
