Tội phạm mạng thường chọn các tệp lưu trữ để che giấu phần mềm độc hại và phân phối nhiễm trùng. Một thống kê cho thấy 37% phần mở rộng tệp độc hại được phát hiện là kho lưu trữ, khá giống với tệp Office (38%) nhưng cao hơn nhiều so với PDF (14%). Đó là điều dễ hiểu vì nhiều lỗ hổng đã được tìm thấy trong các ứng dụng lưu trữ. Ngoài ra, bản thân loại tệp được sử dụng để ẩn phần mềm độc hại.
Cách tội phạm mạng che giấu phần mềm độc hại
- Sửa đổi tiêu đề tệp thư mục trung tâm trong tệp zip: Ở cấp độ cao, cấu trúc của tệp zip khá đơn giản. Mỗi tệp zip có một tiêu đề trung tâm lưu trữ siêu dữ liệu và độ lệch tương đối của tiêu đề tệp cục bộ.
Ứng dụng giải nén đọc tiêu đề trung tâm này để tìm vị trí của nội dung và sau đó trích xuất dữ liệu. Nếu tệp không được liệt kê trong tiêu đề trung tâm thì ứng dụng không thể xem tệp đó và phần mềm độc hại có thể được ẩn ở đó.
- Thay đổi thuộc tính tệp trong tiêu đề trung tâm: Có một thuộc tính được gọi là ExternalFileAttributes cho biết tệp cục bộ là tệp hay thư mục. Bằng cách thay đổi thuộc tính này, bạn có thể lừa 7z xem tệp dưới dạng thư mục. Dưới đây là một tập tin zip bình thường.
Bằng cách sửa đổi một byte cụ thể trong tệp, 7z sẽ thấy tệp mới dưới dạng thư mục.
Bạn có thể nhìn vào bên trong thư mục như bình thường; Dường như không có gì đáng ngờ.
Trong các trường hợp trên, mặc dù bạn giải nén chúng bằng 7z, các tệp được giải nén không còn gây hại nữa. Đối với trường hợp đầu tiên, bạn sẽ nhận được tệp 1 và 2, không phải tệp phần mềm độc hại. Trong trường hợp thứ hai, bạn sẽ nhận được một thư mục. Vậy tại sao chúng lại nguy hiểm? Những kẻ tấn công rất thông minh. Họ xây dựng các kịch bản để bẫy nạn nhân của họ. Xem email lừa đảo dưới đây.
Bọn tội phạm gửi email này với một tệp đính kèm chứa tệp zip và công cụ "giải mã". Công cụ này dành cho các tác vụ đơn giản như giải nén tệp zip bất kể dữ liệu tiêu đề trung tâm hoặc biến byte thư mục trở lại tệp và giải nén nó. Rõ ràng, với hành vi này, công cụ này không được phát hiện là phần mềm độc hại. Tệp độc hại được trích xuất có thể hoặc không thể được phát hiện tùy thuộc vào phần mềm chống phần mềm độc hại bạn đã sử dụng.
Làm sao Deep CDR Làm sạch các mối đe dọa tiềm ẩn
Deep CDR tuân theo Đặc tả định dạng tệp Zip. Nó xem xét tiêu đề trung tâm và trích xuất tệp dựa trên thông tin này. Dữ liệu ẩn sẽ không được bao gồm trong tệp đã Làm sạch. Ngoài ra, như một lợi thế để Deep CDR , quá trình này cũng Làm sạch đệ quy tất cả các tệp con. Kết quả là, nó tạo ra một tệp an toàn.
Trong trường hợp thứ hai, Deep CDR thay đổi tập tin bên trong thành một thư mục thực sự để những gì bạn thấy là những gì bạn nhận được, không còn dữ liệu ẩn nữa.
Kết thúc
Trong tất cả các biện pháp phòng ngừa bạn cần thực hiện để bảo vệ tổ chức của mình khỏi các cuộc tấn công mạng, đào tạo nhận thức về lừa đảo qua mạng có thể là biện pháp quan trọng nhất. Nếu nhân viên của bạn hiểu được các cuộc tấn công lừa đảo qua mạng trông như thế nào, không giống như các hình thức tấn công mạng khác, lừa đảo qua mạng có thể phòng ngừa được. Tuy nhiên, chỉ dựa vào đào tạo bảo mật là không đủ vì con người mắc lỗi và tổ chức của bạn sẽ không chỉ phải đối mặt với lừa đảo qua mạng mà còn phải đối mặt với các cuộc tấn công mạng tiên tiến hơn nhiều. Bảo vệ nhiều lớp giúp tổ chức của bạn an toàn hơn. Công nghệ Công nghệ OPSWAT nâng cao nhận dạng mã độc với đa ứng dụng xử lý tối đa hóa tỷ lệ phát hiện phần mềm độc hại của bạn, do đó cung cấp cơ hội cao hơn nhiều để phát hiện phần mềm độc hại khi các tệp được trích xuất. Deep CDR đảm bảo các tệp vào tổ chức của bạn không gây hại. Ngoài ra, Deep CDR giúp ngăn chặn các cuộc tấn công zero-day. Liên hệ với chúng tôi ngay hôm nay để hiểu thêm về Công nghệ OPSWAT và tìm hiểu cách bảo vệ tổ chức của bạn một cách toàn diện.
Tham khảo:
