网络犯罪分子通常选择存档文件来隐藏恶意软件和传播感染。一项统计显示,在检测到的恶意文件扩展名中,有 37% 是归档文件,这与 Office 文件(38%)相当类似,但远远高于 PDF 文件(14%)。这是可以理解的,因为在归档应用程序中发现了许多漏洞。此外,文件类型本身也被用来隐藏恶意软件。
网络犯罪分子如何隐藏恶意软件
- 修改 zip 文件中的中心目录文件头: 从高层次来看,压缩文件的结构非常简单。每个压缩文件都有一个中央文件头,用于存储元数据和本地文件头的相对偏移量。
解压缩程序会读取该中心标头来查找内容的位置,然后提取数据。如果文件没有列在中心标头中,应用程序就无法看到该文件,恶意软件就可能隐藏在其中。
- 更改中央标头中的文件属性: 有一个名为 ExternalFileAttributes 的属性,用于指示本地文件是文件还是目录。通过更改该属性,你可以诱使 7z 将文件视为文件夹。下面是一个普通的压缩文件。
通过修改文件中的特定字节,7z 会将新文件视为文件夹。
您可以像往常一样查看文件夹内部,似乎没有任何可疑之处。
在上述情况下,即使使用 7z 解压缩,解压缩后的文件也不再有害。对于第一种情况,你将收到文件 1 和 2,而不是恶意软件文件。在第二种情况下,你会收到一个文件夹。那么它们为什么是危险的呢?攻击者很聪明。他们会设置一些情景来诱骗受害者。请看下面的钓鱼电子邮件。
犯罪分子在发送此电子邮件时会附上一个包含压缩文件和 "解密 "工具的附件。该工具用于执行一些简单的任务,如提取压缩文件,而不考虑中央头数据,或将目录字节变回文件并提取。显然,有了这种行为,该工具就不会被检测为恶意软件。提取的恶意文件可能会被检测到,也可能不会被检测到,这取决于您使用的反恶意软件。
How Deep CDR™ 技术如何清除隐藏的威胁
Deep CDR™ 技术遵循 Zip 文件格式规范。它会分析中央头部信息,并据此提取文件。经过清理的文件中将不包含隐藏数据。此外,Deep CDR™ 技术的优势在于,该过程还会递归清理所有子文件。因此,最终生成的文件是安全的。
在第二种情况下,Deep CDR™ 技术会将文件内部转换为一个真实的文件夹,因此所见即所得,不再存在隐藏数据。
结论
在为保护组织免受网络攻击而需要采取的所有预防措施中,网络钓鱼防范意识培训或许是最为关键的一环。如果员工能够识别网络钓鱼攻击的特征,与其他形式的网络攻击不同,网络钓鱼攻击是完全可以预防的。然而,仅依靠安全培训是不够的,因为人难免会犯错,而且您的组织不仅要应对网络钓鱼攻击,还要面对更为复杂的网络攻击。 多层防护能有效提升组织的安全性。OPSWAT Multiscanning 可最大限度提高恶意软件检测率,从而在文件解压时大幅提升拦截恶意软件的概率。Deep CDR™ 技术可确保进入组织的文件无害。此外,Deep CDR™ 技术还有助于防范零日攻击。立即联系我们,深入了解OPSWAT ,并学习如何全面保护您的组织。
参考资料
