Kako arhivski datoteke postaju sredstva za isporuku zloćudnog softvera
U današnje vrijeme, korištenje arhivskih datoteka kao mehanizama za isporuku zloćudnog softvera sve se više razvija, što predstavlja izazov za sigurne e-mail prolaze (SEG-ove), pokazuje novo istraživanje. Nedavni izvještaj tvrtke Cofense ističe kako cyber kriminalci iskorištavaju razne arhivske formate kako bi zaobišli sigurnosne protokole, posebno nakon značajne nadogradnje sustava Windows krajem 2023. godine.
Popularnost arhivskih formata u kampanjama zloćudnog softvera
Tradicionalno, .zip datoteke su bile najčešći arhivski format korišten u kampanjama zloćudnog softvera zbog njihove široke upotrebe i kompatibilnosti s raznim operativnim sustavima. Međutim, Microsoftovo uvođenje podrške za dodatne formate poput .rar, .7z i .tar proširilo je arsenal formata koje zlonamjerni akteri mogu koristiti. Ovi noviji formati sada čine sve veći postotak zloćudnih privitaka u okruženjima zaštićenim SEG-ovima.
Tehnike napadača: Zaštićene arhive i izbjegavanje detekcije
Zaštićivanje arhiva lozinkama česta je taktika koju koriste napadači, jer sprječava automatske alate u analizi sadržaja datoteke. Između svibnja 2023. i svibnja 2024., Cofense je identificirao 15 arhivskih formata korištenih u kampanjama zloćudnog softvera. Iako su .zip datoteke dominirale, zauzimajući do 50%, formati poput .rar, .7z i .gz su naglo porasli na popularnosti, posebno nakon Microsoftove nadogradnje krajem 2023. godine.
Neke obitelji zloćudnog softvera imaju preferencije prema određenim vrstama arhiva. Na primjer, StrelaStealer i NetSupport RAT dosljedno se isporučuju putem .zip datoteka. S druge strane, drugi zloćudni softver, kao što su ukradeni podaci i trojanci za daljinski pristup (RAT-ovi), koriste razne formate ovisno o metodi napada.
Izazovi za sigurne e-mail prolaze
Arhive zaštićene lozinkom predstavljaju dodatni izazov za SEG-ove. Iako je samo oko 5% zloćudnih arhiva bilo zaštićeno lozinkom, ove se datoteke često izbjegavaju detekciji jer SEG-ovi teško razlikuju lozinke skrivene u mamcima e-pošte. Ova taktika, u kombinaciji s ugrađenim URL-ovima koji vode do web stranica s zloćudnim softverom, omogućava napadačima da zaobiđu tradicionalne obrane.
Preporuke za borbu protiv prijetnji
Kako bi se suprotstavili rastućoj prijetnji zloćudnim arhivama, organizacijama se preporučuje usvajanje višeslojne strategije obrane. Svijest zaposlenika je ključna, jer dobro obučeno osoblje može identificirati sumnjive datoteke, posebno one s neobičnim ekstenzijama ili obmanjujućim dvostrukim završecima kao što je “.docx.zip”.
- Ograničiti korištenje arhivskih formata koji nemaju jasnu poslovnu svrhu, poput .vhd(x) datoteka, koje su rijetko potrebne za e-mail komunikaciju.
- Osigurati da SEG-ovi budu opremljeni naprednim mogućnostima za analizu stvarnih formata datoteka, otkrivanje neslaganja i upravljanje arhivama zaštićenim lozinkom.
Zaključak
U svjetlu sve sofisticiranijih taktika cyber kriminalaca, organizacije moraju ostati na oprezu i prilagoditi svoje sigurnosne mjere kako bi štitile svoje sustave od zloćudnog softvera koji se isporučuje putem arhivskih datoteka. Provedbom višeslojne strategije obrane i educiranjem zaposlenika, moguće je značajno smanjiti rizik od napada.
