サイバー犯罪者は通常、マルウェアを隠し、感染を広めるためにアーカイブファイルを選択します。統計によると、検出された悪意のあるファイル拡張子の37%がアーカイブであり、これはOfficeファイル(38%)とよく似ているが、PDF(14%)よりもはるかに高い。アーカイブ・アプリケーションに多くの脆弱性が見つかっていることからも理解できる。さらに、このファイルタイプ自体がマルウェアを隠すために使用されています。
サイバー犯罪者がマルウェアを隠す方法
- ZIPファイルのセントラル・ディレクトリ・ファイルのヘッダーを修正する: 高レベルでは、zip ファイルの構造は非常に単純である。各 zip ファイルにはメタデータを格納する中央ヘッダと、 ローカルファイルヘッダの相対オフセットがあります。
解凍アプリケーションはこのセントラルヘッダを読んでコンテンツの場所を見つけ、データを抽出する。ファイルが中央ヘッダーにリストされていない場合、アプリケーションはそのファイルを見ることができず、マルウェアがそこに隠されている可能性があります。
- セントラルヘッダのファイル属性を変更する: ExternalFileAttributesと呼ばれる属性があり、これはローカルファイルがファイルかディレクトリかを示す。この属性を変更することで、7zを騙してファイルをフォルダとして認識させることができます。以下は通常のzipファイルです。
ファイルの特定のバイトを変更することで、7zは新しいファイルをフォルダとして認識する。
フォルダの中はいつも通り見ることができるが、不審な点は何もないようだ。
上記の場合、7zで解凍しても、解凍されたファイルはもう有害ではありません。最初のケースでは、マルウェアのファイルではなく、ファイル1と2を受け取ります。2番目のケースでは、フォルダを受け取ります。では、なぜ危険なのでしょうか?攻撃者は賢い。被害者を罠にかけるためにシナリオを組み立てるのだ。以下のフィッシング・メールを見てください。
犯人はこの電子メールに、zipファイルと「復号ツール」を添付して送りつける。このツールは、中央のヘッダー・データに関係なくzipファイルを解凍したり、ディレクトリ・バイトをファイルに戻して解凍したりといった単純な作業を行うためのものだ。どうやらこの動作では、このツールはマルウェアとして検出されないようだ。解凍された悪意のあるファイルは、使用したマルウェア対策ソフトによって検出されたりされなかったりする。
Deep CDR はどのようにして隠れた脅威をサニタイズするのか?
Deep CDR は Zip File Format Specification に従っています。中央のヘッダを調べ、この情報に基づいてファイルを抽出する。隠されたデータはサニタイズされたファイルには含まれない。また、Deep CDR の利点として、このプロセスはすべての子ファイルも再帰的にサニタイズする。その結果、安全なファイルが生成される。
2つ目のケースでは、Deep CDR 、中のファイルを実際のフォルダに変更する。そのため、表示されているものがそのまま表示され、隠しデータはなくなる。
結論
サイバー攻撃から組織を守るために必要な予防措置の中でも、フィッシングに関する意識向上トレーニングは群を抜いて重要かもしれません。従業員がフィッシング攻撃がどのようなものかを理解していれば、他の形態のサイバー攻撃とは異なり、フィッシングは防ぐことができる。しかし、人間は間違いを犯すものであり、組織はフィッシングだけでなく、はるかに高度なサイバー攻撃にも直面することになるため、セキュリティ・トレーニングだけに頼るのでは不十分です。OPSWAT Multiscanning テクノロジーは、マルウェア検出率を最大化し、ファイル抽出時にマルウェアを検出する確率を大幅に高めます。 Deep CDRこれにより、組織に侵入するファイルが有害でないことを保証します。また、Deep CDR ゼロデイ攻撃の防止にも役立ちます。OPSWAT テクノロジーの詳細を理解し、組織を包括的に保護する方法を学ぶには、今すぐお問い合わせください。
参考までに:
