Siber suçlular genellikle kötü amaçlı yazılımları gizlemek ve virüsleri dağıtmak için arşiv dosyalarını seçerler. Bir istatistik, tespit edilen kötü amaçlı dosya uzantılarının %37'sinin bir arşiv olduğunu göstermektedir; bu oran Office dosyalarına (%38) oldukça benzer ancak PDF'den (%14) çok daha yüksektir. Bu anlaşılabilir bir durumdur çünkü arşiv uygulamalarında birçok güvenlik açığı bulunmuştur. Ek olarak, dosya türünün kendisi kötü amaçlı yazılımları gizlemek için kullanılır.
Siber suçlular kötü amaçlı yazılımları nasıl gizliyor?
- Bir zip dosyasındaki merkezi dizin dosyası başlığını değiştirin: Yüksek düzeyde, bir zip dosyasının yapısı oldukça basittir. Her zip dosyası, meta verileri ve yerel dosya başlığının göreli ofsetini depolayan merkezi bir başlığa sahiptir.
Unzip uygulaması içeriğin yerini bulmak için bu merkezi başlığı okur ve ardından verileri çıkarır. Dosya merkezi başlıkta listelenmemişse, uygulama o dosyayı göremez ve kötü amaçlı yazılım orada gizlenebilir.
- Merkezi başlıktaki bir dosya özniteliğini değiştirin: Yerel dosyanın bir dosya mı yoksa bir dizin mi olduğunu belirten ExternalFileAttributes adlı bir nitelik vardır. Bu niteliği değiştirerek, 7z'yi bir dosyayı klasör olarak görmesi için kandırabilirsiniz. Aşağıda normal bir zip dosyası bulunmaktadır.
Dosyadaki belirli bir baytı değiştirerek, 7z yeni dosyayı bir klasör olarak görür.
Her zamanki gibi klasörün içine bakabilirsiniz; şüpheli bir şey görünmüyor.
Yukarıdaki durumlarda, bunları 7z ile çıkarmış olsanız bile, çıkarılan dosyalar artık zararlı değildir. İlk durumda, kötü amaçlı yazılım dosyasını değil, 1 ve 2 numaralı dosyaları alırsınız. İkinci durumda ise bir klasör alırsınız. O zaman neden tehlikeliler? Saldırganlar akıllıdır. Kurbanlarını tuzağa düşürmek için senaryolar oluştururlar. Aşağıdaki kimlik avı e-postasına bakın.
Suçlular bu e-postayı bir zip dosyası ve bir "şifre çözücü" araç içeren bir ek ile gönderir. Araç, merkezi başlık verilerinden bağımsız olarak zip dosyasını çıkarmak veya dizin baytını dosyaya geri döndürmek ve çıkarmak gibi basit görevler içindir. Görünüşe göre, bu davranışla, araç kötü amaçlı yazılım olarak algılanmıyor. Çıkarılan kötü amaçlı dosya, kullandığınız kötü amaçlı yazılımdan koruma yazılımına bağlı olarak algılanabilir veya algılanmayabilir.
How Deep CDR™ Teknolojisi gizli tehditleri nasıl ortadan kaldırır?
Deep CDR™ Teknolojisi, Zip Dosya Biçimi Spesifikasyonuna uygundur. Merkezi başlığı inceler ve bu bilgilere dayanarak dosyayı çıkarır. Gizli veriler, temizlenmiş dosyaya dahil edilmez. Ayrıca, Deep CDR™ Teknolojisinin bir avantajı olarak, bu işlem tüm alt dosyaları da özyinelemeli olarak temizler. Sonuç olarak, güvenli bir dosya oluşturur.
İkinci durumda, Deep CDR™ Teknolojisi dosyanın içindekini gerçek bir klasöre dönüştürür; böylece gördüğünüz şey tam olarak elinizde olan şeydir ve artık gizli veri kalmaz.
Sonuç
Kuruluşunuzu siber saldırılardan korumak için almanız gereken tüm önlemler arasında, kimlik avı farkındalık eğitimi açık ara en önemlisi olabilir. Çalışanlarınız kimlik avı saldırılarının nasıl göründüğünü anlarsa, diğer siber saldırı türlerinden farklı olarak kimlik avı önlenebilir. Ancak, insanlar hata yapabileceğinden ve kuruluşunuzun sadece kimlik avıyla değil, çok daha gelişmiş siber saldırılarla da karşı karşıya kalacağından, yalnızca güvenlik eğitimine güvenmek yetersiz kalır. Çok katmanlı koruma, kuruluşunuzun daha güvenli olmasını sağlar. OPSWAT Multiscanning , kötü amaçlı yazılım tespit oranınızı en üst düzeye çıkararak, dosyalar açıldığında kötü amaçlı yazılımları yakalama şansını önemli ölçüde artırır. Deep CDR™ Teknolojisi, kuruluşunuza gelen dosyaların zararlı olmadığından emin olur. Ayrıca Deep CDR™ Teknolojisi, sıfırıncı gün saldırılarını önlemeye yardımcı olur. OPSWAT hakkında daha fazla bilgi edinmek ve kuruluşunuzu kapsamlı bir şekilde nasıl koruyabileceğinizi öğrenmek için bugün bizimle iletişime geçin.
Referans:
