Supportanfrage

Deep CDR bereinigt versteckte Bedrohungen in einer Archivdatei

von | 28.Februar 2020

Zuletzt aktualisiert am von ProSoft Redaktion

Beschreibung

Ausgangslage

Cyberkriminelle wählen in der Regel Archivdateien, um Malware zu verbergen und Infektionen zu verbreiten.

Eine Statistik zeigt, dass 37% der entdeckten bösartigen Dateierweiterungen ein Archiv sind, was den Office-Dateien (38%) recht ähnlich ist, aber viel höher als bei PDF (14%). Das ist verständlich, da viele Schwachstellen in Archivanwendungen gefunden wurden. Darüber hinaus wird der Dateityp selbst zum Ausblenden von Malware verwendet.


Wie verstecken Cyberkriminelle die Malware?

  • Änderung des Dateikopf des zentralen Verzeichnisses in einer Zip-Datei:

    Auf einer hohen Ebene ist die Struktur einer Zip-Datei recht einfach. Jede Zip-Datei hat einen zentralen Header, der Metadaten und einen relativen Versatz des lokalen Datei-Headers speichert.
     


     

    Die Anwendung zum Entpacken liest diesen zentralen Header, um den Ort des Inhalts zu finden und extrahiert dann die Daten.

    Wenn die Datei nicht in der zentralen Kopfzeile aufgeführt ist, kann die Anwendung diese Datei nicht sehen und Malware kann dort versteckt werden.
     


     

  • Änderung eines Dateiattributs in der zentralen Kopfzeile

    Es gibt ein Attribut namens ExternalFileAttributes, das angibt, ob die lokale Datei eine Datei oder ein Verzeichnis ist. Indem Sie dieses Attribut ändern, können Sie die Anwendung zum Entpacken (z.B. 7z) dazu bringen, eine Datei als Ordner zu sehen.
    Im Beispiel unten sehen Sie eine normale Zip-Datei.
     


     

    Wenn Sie ein bestimmtes Byte in der Datei ändern, sieht 7z die neue Datei als Ordner.
     


     

    Sie können dann wie gewohnt in den Ordner hineinschauen – nichts scheint verdächtig zu sein.
     

In den oben genannten Fällen sind die extrahierten Dateien, auch wenn Sie sie mit 7z extrahieren, nicht mehr schädlich.
Für den ersten Fall erhalten Sie die Dateien 1 und 2, nicht die Malware-Datei.
Im zweiten Fall erhalten Sie einen Ordner.

Doch warum sind sie dann gefährlich?

Die Angreifer sind schlau. Sie bauen Szenarien, um ihre Opfer in die Falle zu locken.
Sehen Sie sich die folgende Phishing-E-Mail an.
 


 

Die Kriminellen senden diese E-Mail mit einem Anhang, der eine Zip-Datei und ein “Entschlüsselungs”-Tool enthält. Das Tool ist für einfache Aufgaben wie das Extrahieren der Zip-Datei unabhängig von den zentralen Kopfdaten oder das Zurückschalten des Verzeichnisbytes in eine Datei und das Extrahieren. Offensichtlich wird das Tool bei diesem Verhalten nicht als Malware erkannt. Die extrahierte bösartige Datei kann je nach der von Ihnen verwendeten Antimalwaresoftware erkannt werden oder auch nicht.


Wie tief bereinigt CDR die versteckten Bedrohungen?

Deep CDR folgt der Spezifikation für das Zip-Dateiformat. Deep CDR betrachtet den zentralen Header und extrahiert die Datei auf der Grundlage dieser Informationen. Die versteckten Daten werden nicht in die bereinigte Datei aufgenommen. Als Vorteil für Deep CDR bereinigt der Prozess auch rekursiv alle Kinderdateien. Als Ergebnis wird eine sichere Datei erzeugt.
 


 

Im zweiten Fall ändert Deep CDR die darin enthaltene Datei in einen echten Ordner, so dass das, was Sie sehen, das ist, was Sie bekommen, keine versteckten Daten mehr.
 

 


Schlussfolgerung

Von allen Vorkehrungen, die Sie treffen müssen, um Ihre Organisation vor Cyberattacken zu schützen, ist die Schulung des Phishing-Bewusstseins möglicherweise die bei weitem wichtigste. Wenn Ihre Mitarbeiter wissen, wie Phishing-Angriffe im Gegensatz zu anderen Formen von Cyberattacken aussehen, ist Phishing vermeidbar.

Sich allein auf Sicherheitstraining zu verlassen, ist jedoch unzureichend, da Menschen Fehler machen und Ihre Organisation nicht nur Phishing, sondern auch weitaus fortgeschrittenere Cyberattacken bekämpfen wird. Ein mehrschichtiger Schutz hilft Ihrem Unternehmen, sicherer zu sein.

Die OPSWAT-Multiscanning-Technologie maximiert Ihre Malware-Erkennungsrate und bietet dadurch eine viel höhere Chance, Malware beim Extrahieren von Dateien abzufangen. Deep CDR stellt sicher, dass in Ihr Unternehmen eingehende Dateien nicht schädlich sind. Außerdem hilft Deep CDR, Zero-Day-Angriffe zu verhindern.

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]