サイバー犯罪者は通常、マルウェアを隠し、感染を広めるためにアーカイブファイルを選択します。統計によると、検出された悪意のあるファイル拡張子の37%がアーカイブであり、これはOfficeファイル(38%)とよく似ているが、PDF(14%)よりもはるかに高い。アーカイブ・アプリケーションに多くの脆弱性が見つかっていることからも理解できる。さらに、このファイルタイプ自体がマルウェアを隠すために使用されています。
サイバー犯罪者がマルウェアを隠す方法
- ZIPファイルのセントラル・ディレクトリ・ファイルのヘッダーを修正する: 高レベルでは、zip ファイルの構造は非常に単純である。各 zip ファイルにはメタデータを格納する中央ヘッダと、 ローカルファイルヘッダの相対オフセットがあります。
解凍アプリケーションはこのセントラルヘッダを読んでコンテンツの場所を見つけ、データを抽出する。ファイルが中央ヘッダーにリストされていない場合、アプリケーションはそのファイルを見ることができず、マルウェアがそこに隠されている可能性があります。
- セントラルヘッダのファイル属性を変更する: ExternalFileAttributesと呼ばれる属性があり、これはローカルファイルがファイルかディレクトリかを示す。この属性を変更することで、7zを騙してファイルをフォルダとして認識させることができます。以下は通常のzipファイルです。
ファイルの特定のバイトを変更することで、7zは新しいファイルをフォルダとして認識する。
フォルダの中はいつも通り見ることができるが、不審な点は何もないようだ。
上記の場合、7zで解凍しても、解凍されたファイルはもう有害ではありません。最初のケースでは、マルウェアのファイルではなく、ファイル1と2を受け取ります。2番目のケースでは、フォルダを受け取ります。では、なぜ危険なのでしょうか?攻撃者は賢い。被害者を罠にかけるためにシナリオを組み立てるのだ。以下のフィッシング・メールを見てください。
犯人はこの電子メールに、zipファイルと「復号ツール」を添付して送りつける。このツールは、中央のヘッダー・データに関係なくzipファイルを解凍したり、ディレクトリ・バイトをファイルに戻して解凍したりといった単純な作業を行うためのものだ。どうやらこの動作では、このツールはマルウェアとして検出されないようだ。解凍された悪意のあるファイルは、使用したマルウェア対策ソフトによって検出されたりされなかったりする。
How Deep CDR™ テクノロジーが、目に見えない脅威をどのように除去するか
Deep CDR™ テクノロジーは、Zip ファイル形式の仕様に準拠しています。中央のヘッダーを解析し、その情報に基づいてファイルを抽出します。隠されたデータは、クリーン化されたファイルには含まれません。また、Deep CDR™ テクノロジーの利点として、この処理ではすべての子ファイルも再帰的にクリーン化されます。その結果、安全なファイルが生成されます。
2つ目のケースでは、Deep CDR™テクノロジーがファイル内部を実際のフォルダに変換するため、表示されている内容がそのままの状態で、隠されたデータは一切なくなります。
結論
組織をサイバー攻撃から守るために講じるべきあらゆる対策の中で、フィッシング対策の啓発トレーニングは、おそらく最も重要なものと言えるでしょう。従業員がフィッシング攻撃の特徴を理解していれば、他の形態のサイバー攻撃とは異なり、フィッシングは防ぐことができます。しかし、人間はミスを犯すものであり、組織が直面するのはフィッシングだけでなく、はるかに高度なサイバー攻撃もあるため、セキュリティトレーニングだけに頼るだけでは不十分です。 多層防御は、組織のセキュリティ強化に役立ちます。OPSWAT Multiscanning マルウェアの検出率を最大化し、ファイルが抽出される際にマルウェアを捕捉する可能性を大幅に高めます。Deep CDR™テクノロジーは、組織に流入するファイルに有害なものが含まれていないことを保証します。また、Deep CDR™テクノロジーはゼロデイ攻撃の防止にも役立ちます。OPSWAT についてさらに詳しく知りたい方、組織を包括的に保護する方法を知りたい方は、今すぐお問い合わせください。
参考までに:
