عادةً ما يختار مجرمو الإنترنت ملفات الأرشيف لإخفاء البرمجيات الضارة وتوزيع الإصابات. وتُظهر إحصائية أن 37% من امتدادات الملفات الضارة المكتشفة هي أرشيفات، وهي نسبة مشابهة تماماً لملفات Office (38%) ولكنها أعلى بكثير من ملفات PDF (14%). وهذا أمر مفهوم لأنه تم العثور على العديد من الثغرات في تطبيقات الأرشيف. بالإضافة إلى ذلك، يُستخدم نوع الملف نفسه لإخفاء البرمجيات الضارة.
كيف يخفي مجرمو الإنترنت البرامج الضارة
- تعديل رأس ملف الدليل المركزي في ملف مضغوط: على مستوى عال ، يكون هيكل الملف المضغوط بسيطا للغاية. يحتوي كل ملف مضغوط على رأس مركزي يخزن البيانات الوصفية وإزاحة نسبية لرأس الملف المحلي.
يقرأ تطبيق فك الضغط هذا الرأس المركزي للعثور على موقع المحتوى ثم يستخرج البيانات. إذا لم يكن الملف مدرجا في الرأس المركزي ، فلن يتمكن التطبيق من رؤية هذا الملف ، ويمكن إخفاء البرامج الضارة هناك.
- تغيير سمة ملف في الرأس المركزي: هناك سمة تسمى ExternalFileAttributes تشير إلى ما إذا كان الملف المحلي ملفا أو دليلا. عن طريق تغيير هذه السمة ، يمكنك خداع 7z لرؤية ملف كمجلد. يوجد أدناه ملف مضغوط عادي.
عن طريق تعديل بايت معين في الملف ، يرى 7z الملف الجديد كمجلد.
يمكنك النظر داخل المجلد كالمعتاد. لا شيء يبدو مريبا.
في الحالات المذكورة أعلاه ، على الرغم من استخراجها باستخدام 7z ، فإن الملفات المستخرجة لم تعد ضارة بعد الآن. بالنسبة للحالة الأولى ، ستتلقى الملف 1 و 2 ، وليس ملف البرامج الضارة. في الحالة الثانية ، سوف تتلقى مجلدا. ثم لماذا هم خطرون؟ المهاجمون أذكياء. يبنون سيناريوهات للإيقاع بضحاياهم. انظر إلى البريد الإلكتروني للتصيد الاحتيالي أدناه.
يرسل المجرمون هذا البريد الإلكتروني مع مرفق يحتوي على ملف مضغوط وأداة "فك تشفير". الأداة مخصصة للمهام البسيطة مثل استخراج الملف المضغوط بغض النظر عن بيانات الرأس المركزية أو إعادة بايت الدليل إلى ملف واستخراجه. على ما يبدو ، مع هذا السلوك ، لا يتم اكتشاف الأداة كبرامج ضارة. قد يتم اكتشاف الملف الضار المستخرج أو لا يتم اكتشافه اعتمادا على برنامج مكافحة البرامج الضارة الذي استخدمته.
كيف يقوم موقع Deep CDR بتعقيم التهديدات الخفية
Deep CDR يتبع مواصفات تنسيق الملف المضغوط. فهو ينظر إلى الرأس المركزي ويستخرج الملف بناءً على هذه المعلومات. لن يتم تضمين البيانات المخفية في الملف المعقّم. أيضًا، كميزة لـ Deep CDR ، تقوم العملية أيضًا بتعقيم جميع الملفات الفرعية بشكل متكرر. ونتيجة لذلك، فإنها تنتج ملفًا آمنًا.
في الحالة الثانية، يقوم Deep CDR بتغيير الملف الموجود بالداخل إلى مجلد حقيقي، لذا فإن ما تراه هو ما تحصل عليه، ولا توجد بيانات مخفية بعد الآن.
استنتاج
من بين جميع الاحتياطات التي تحتاج إلى اتخاذها لحماية مؤسستك من الهجمات الإلكترونية، قد يكون التدريب على التوعية بالتصيد الاحتيالي هو الأهم حتى الآن. إذا فهم موظفوك كيف تبدو هجمات التصيد الاحتيالي، على عكس الأشكال الأخرى من الهجمات الإلكترونية، فإن التصيد الاحتيالي يمكن الوقاية منه. ومع ذلك، فإن الاعتماد على التدريب الأمني وحده غير كافٍ لأن البشر يرتكبون الأخطاء، ولن تواجه مؤسستك التصيد الاحتيالي فحسب، بل ستواجه هجمات إلكترونية أكثر تقدماً بكثير. تساعد الحماية متعددة الطبقات مؤسستك على أن تكون أكث ر أمان ًا. OPSWAT Multiscanning تزيد تقنية من معدل اكتشاف البرمجيات الخبيثة، وبالتالي توفر فرصة أكبر بكثير لاكتشاف البرمجيات الخبيثة عند استخراج الملفات. Deep CDR تضمن أن الملفات الواردة إلى مؤسستك ليست ضارة. كما يساعد Deep CDR في منع هجمات فورية. اتصل بنا اليوم لفهم المزيد عن تقنيات OPSWAT ، وتعلم كيفية حماية مؤسستك بشكل شامل.
مرجع:
