网络犯罪分子通常选择存档文件来隐藏恶意软件和传播感染。一项统计显示,在检测到的恶意文件扩展名中,有 37% 是归档文件,这与 Office 文件(38%)相当类似,但远远高于 PDF 文件(14%)。这是可以理解的,因为在归档应用程序中发现了许多漏洞。此外,文件类型本身也被用来隐藏恶意软件。
网络犯罪分子如何隐藏恶意软件
- 修改 zip 文件中的中心目录文件头: 从高层次来看,压缩文件的结构非常简单。每个压缩文件都有一个中央文件头,用于存储元数据和本地文件头的相对偏移量。
解压缩程序会读取该中心标头来查找内容的位置,然后提取数据。如果文件没有列在中心标头中,应用程序就无法看到该文件,恶意软件就可能隐藏在其中。
- 更改中央标头中的文件属性: 有一个名为 ExternalFileAttributes 的属性,用于指示本地文件是文件还是目录。通过更改该属性,你可以诱使 7z 将文件视为文件夹。下面是一个普通的压缩文件。
通过修改文件中的特定字节,7z 会将新文件视为文件夹。
您可以像往常一样查看文件夹内部,似乎没有任何可疑之处。
在上述情况下,即使使用 7z 解压缩,解压缩后的文件也不再有害。对于第一种情况,你将收到文件 1 和 2,而不是恶意软件文件。在第二种情况下,你会收到一个文件夹。那么它们为什么是危险的呢?攻击者很聪明。他们会设置一些情景来诱骗受害者。请看下面的钓鱼电子邮件。
犯罪分子在发送此电子邮件时会附上一个包含压缩文件和 "解密 "工具的附件。该工具用于执行一些简单的任务,如提取压缩文件,而不考虑中央头数据,或将目录字节变回文件并提取。显然,有了这种行为,该工具就不会被检测为恶意软件。提取的恶意文件可能会被检测到,也可能不会被检测到,这取决于您使用的反恶意软件。
Deep CDR 如何消除隐藏的威胁
Deep CDR 遵循 Zip 文件格式规范。它会查看中央文件头,并根据这些信息提取文件。被隐藏的数据不会包含在消毒后的文件中。此外,作为Deep CDR 的优势,该进程还会递归地对所有子文件进行消毒。因此,它生成的文件是安全的。
在第二种情况下,Deep CDR 会将里面的文件更改为真正的文件夹,因此所见即所得,不再有隐藏数据。
结论
在保护组织免受网络攻击的所有预防措施中,网络钓鱼意识培训可能是迄今为止最重要的一项。如果您的员工了解网络钓鱼攻击的样子,与其他形式的网络攻击不同,网络钓鱼是可以预防的。但是,仅仅依靠安全培训是不够的,因为人都会犯错,贵组织不仅要面对网络钓鱼,还要面对更高阶的网络攻击。多层保护有助于提高组织的安全性。OPSWAT 多重扫描技术可最大限度地提高恶意软件检测率,从而在提取文件时有更高的机会捕获恶意软件。深度 CDR可确保进入企业的文件不具危害性。此外,深度 CDR 还有助于防止零日攻击。立即联系我们,了解有关OPSWAT 技术的更多信息,并学习如何全面保护您的企业。
参考资料
