Siber suçlular genellikle kötü amaçlı yazılımları gizlemek ve virüsleri dağıtmak için arşiv dosyalarını seçerler. Bir istatistik, tespit edilen kötü amaçlı dosya uzantılarının %37'sinin bir arşiv olduğunu göstermektedir; bu oran Office dosyalarına (%38) oldukça benzer ancak PDF'den (%14) çok daha yüksektir. Bu anlaşılabilir bir durumdur çünkü arşiv uygulamalarında birçok güvenlik açığı bulunmuştur. Ek olarak, dosya türünün kendisi kötü amaçlı yazılımları gizlemek için kullanılır.
Siber suçlular kötü amaçlı yazılımları nasıl gizliyor?
- Bir zip dosyasındaki merkezi dizin dosyası başlığını değiştirin: Yüksek düzeyde, bir zip dosyasının yapısı oldukça basittir. Her zip dosyası, meta verileri ve yerel dosya başlığının göreli ofsetini depolayan merkezi bir başlığa sahiptir.
Unzip uygulaması içeriğin yerini bulmak için bu merkezi başlığı okur ve ardından verileri çıkarır. Dosya merkezi başlıkta listelenmemişse, uygulama o dosyayı göremez ve kötü amaçlı yazılım orada gizlenebilir.
- Merkezi başlıktaki bir dosya özniteliğini değiştirin: Yerel dosyanın bir dosya mı yoksa bir dizin mi olduğunu belirten ExternalFileAttributes adlı bir nitelik vardır. Bu niteliği değiştirerek, 7z'yi bir dosyayı klasör olarak görmesi için kandırabilirsiniz. Aşağıda normal bir zip dosyası bulunmaktadır.
Dosyadaki belirli bir baytı değiştirerek, 7z yeni dosyayı bir klasör olarak görür.
Her zamanki gibi klasörün içine bakabilirsiniz; şüpheli bir şey görünmüyor.
Yukarıdaki durumlarda, bunları 7z ile çıkarmış olsanız bile, çıkarılan dosyalar artık zararlı değildir. İlk durumda, kötü amaçlı yazılım dosyasını değil, 1 ve 2 numaralı dosyaları alırsınız. İkinci durumda ise bir klasör alırsınız. O zaman neden tehlikeliler? Saldırganlar akıllıdır. Kurbanlarını tuzağa düşürmek için senaryolar oluştururlar. Aşağıdaki kimlik avı e-postasına bakın.
Suçlular bu e-postayı bir zip dosyası ve bir "şifre çözücü" araç içeren bir ek ile gönderir. Araç, merkezi başlık verilerinden bağımsız olarak zip dosyasını çıkarmak veya dizin baytını dosyaya geri döndürmek ve çıkarmak gibi basit görevler içindir. Görünüşe göre, bu davranışla, araç kötü amaçlı yazılım olarak algılanmıyor. Çıkarılan kötü amaçlı dosya, kullandığınız kötü amaçlı yazılımdan koruma yazılımına bağlı olarak algılanabilir veya algılanmayabilir.
Deep CDR gizli tehditleri nasıl sterilize eder?
Deep CDR Zip Dosya Biçimi Spesifikasyonunu takip eder. Merkezi başlığa bakar ve dosyayı bu bilgiye göre çıkarır. Gizli veriler sterilize edilmiş dosyaya dahil edilmeyecektir. Ayrıca, Deep CDR'a bir avantaj olarak, işlem tüm alt dosyaları da özyinelemeli olarak sterilize eder. Sonuç olarak, güvenli bir dosya üretir.
İkinci durumda, Deep CDR içindeki dosyayı gerçek bir klasöre dönüştürür, böylece ne görüyorsanız onu alırsınız, artık gizli veri yoktur.
Sonuç
Kurumunuzu siber saldırılardan korumak için almanız gereken tüm önlemler arasında kimlik avı farkındalık eğitimi açık ara en önemlisi olabilir. Personeliniz oltalama saldırılarının neye benzediğini anlarsa, diğer siber saldırı türlerinin aksine oltalama saldırıları önlenebilir. Ancak sadece güvenlik eğitimine güvenmek yetersizdir çünkü insanlar hata yapar ve kuruluşunuz sadece oltalama saldırılarıyla değil çok daha gelişmiş siber saldırılarla da karşı karşıya kalacaktır. Çok katmanlı koruma, kuruluşunuzun daha güvenli olmasına yardımcı olur. OPSWAT Multiscanning teknolojisi, kötü amaçlı yazılım algılama oranınızı en üst düzeye çıkarır, böylece dosyalar ayıklandığında kötü amaçlı yazılımları yakalama şansı çok daha yüksektir. Deep CDR Kuruluşunuza gelen dosyaların zararlı olmamasını sağlar. Ayrıca, Deep CDR sıfır gün saldırılarını önlemeye yardımcı olur. OPSWAT teknolojileri hakkında daha fazla bilgi edinmek ve kuruluşunuzu kapsamlı bir şekilde nasıl koruyacağınızı öğrenmek için bugün bize ulaşın.
Referans:
