Les cybercriminels choisissent généralement des fichiers d'archive pour dissimuler des logiciels malveillants et diffuser des infections. Une statistique montre que 37 % des extensions de fichiers malveillants détectées sont des archives, ce qui est assez similaire aux fichiers Office (38 %) mais beaucoup plus élevé que les PDF (14 %). C'est compréhensible car de nombreuses vulnérabilités ont été découvertes dans les applications d'archivage. En outre, le type de fichier lui-même est utilisé pour dissimuler des logiciels malveillants.
Comment les cybercriminels cachent les logiciels malveillants
- Modifier l'en-tête du fichier du répertoire central dans un fichier zip : À un niveau élevé, la structure d'un fichier zip est assez simple. Chaque fichier zip possède un en-tête central qui contient des métadonnées et un décalage relatif de l'en-tête du fichier local.
L'application de décompression lit cet en-tête central pour trouver l'emplacement du contenu, puis extrait les données. Si le fichier n'est pas répertorié dans l'en-tête central, l'application n'est pas en mesure de le voir et des logiciels malveillants peuvent s'y cacher.
- Modifier un attribut de fichier dans l'en-tête central : Il existe un attribut appelé ExternalFileAttributes qui indique si le fichier local est un fichier ou un répertoire. En changeant cet attribut, vous pouvez tromper le 7z en lui faisant voir un fichier comme un dossier. Voici un fichier zip normal.
En modifiant un octet spécifique dans le fichier, 7z considère le nouveau fichier comme un dossier.
Vous pouvez regarder à l'intérieur du dossier comme d'habitude ; rien ne semble suspect.
Dans les cas ci-dessus, même si vous les extrayez avec 7z, les fichiers extraits ne sont plus nuisibles. Dans le premier cas, vous recevrez les fichiers 1 et 2, mais pas le fichier malveillant. Dans le second cas, vous recevrez un dossier. Alors pourquoi sont-ils dangereux ? Les attaquants sont intelligents. Ils élaborent des scénarios pour piéger leurs victimes. Regardez l'e-mail de phishing ci-dessous.
Les criminels envoient cet e-mail avec une pièce jointe contenant un fichier zip et un outil de "décryptage". Cet outil permet d'effectuer des tâches simples telles que l'extraction du fichier zip sans tenir compte des données d'en-tête centrales ou la transformation de l'octet du répertoire en fichier et son extraction. Apparemment, grâce à ce comportement, l'outil n'est pas détecté comme un logiciel malveillant. Le fichier malveillant extrait peut être détecté ou non en fonction du logiciel anti-malware que vous avez utilisé.
Comment la technologie Deep CDR™ élimine les menaces cachées
La technologie Deep CDR™ suit la spécification du format de fichier Zip. Elle examine l'en-tête central et extrait le fichier en fonction de ces informations. Les données cachées ne seront pas incluses dans le fichier nettoyé. De plus, l'un des avantages de la technologie Deep CDR™ est que le processus nettoie également de manière récursive tous les fichiers enfants. Il en résulte un fichier sécurisé.
Dans le second cas, la technologie Deep CDR™ transforme le fichier en un véritable dossier, de sorte que ce que vous voyez est ce que vous obtenez, sans aucune donnée cachée.
Conclusion
Parmi toutes les précautions à prendre pour protéger votre organisation contre les cyberattaques, la formation de sensibilisation au phishing est sans doute la plus importante. Si vos employés comprennent à quoi ressemblent les attaques de phishing, contrairement à d'autres formes de cyberattaques, le phishing peut être évité. Cependant, il ne suffit pas de compter uniquement sur la formation à la sécurité, car les êtres humains commettent des erreurs et votre organisation sera confrontée non seulement au phishing, mais aussi à des cyberattaques beaucoup plus sophistiquées. Une protection multicouche aide votre organisation à être plus sécurisée. Multiscanning OPSWAT Multiscanning maximise votre taux de détection des logiciels malveillants, offrant ainsi une chance beaucoup plus élevée de détecter les logiciels malveillants lorsque les fichiers sont extraits. La technologie Deep CDR™ garantit que les fichiers entrant dans votre organisation ne sont pas nuisibles. De plus, la technologie Deep CDR™ aide à prévenir les attaques zero-day. Contactez-nous dès aujourd'hui pour en savoir plus sur OPSWAT et découvrir comment protéger votre organisation de manière complète.
Référence :
- Format de fichier Zip
- Cacher des fichiers supplémentaires dans une archive ZIP
- Stégano de dossier-fichier ZIP
