שליחת יומנים, התראות ונתוני טלמטריה באמצעות דיודה נתונים

גלו כיצד
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.

מדוע קבצי ארכיון הם הבחירה מספר 1 למתקפות סייבר 

עַל יְדֵי סטלה נגוין, מנהלת שיווק מוצר בכירה
עודכן לאחרונה:
שתף את הפוסט הזה

פורמטים של קבצי ארכיון כמו ZIP ו-RAR צצו כאחד הכלים הנפוצים ביותר להפצת תוכנות זדוניות, ומציעים לפושעי סייבר דרך אמינה ויעילה להפיץ עומסים זדוניים. על פי מחקר איומים של HP Wolf Security, ברבעון השני של 2024 בלבד, קבצי ארכיון היוו 39% מכלל שיטות העברת התוכנות הזדוניות, מה שהופך אותם לבחירה המובילה עבור תוקפים. על ידי הטמעת סקריפטים מזיקים, קבצי הרצה או תוכן פישינג בתוך ארכיונים שנראים לא מזיקים, האקרים מנצלים את האמון וההיכרות הקשורים לפורמטים אלה.  

תרשים עמודות המציג את סיומות הקבצים הנפוצות ביותר של תוכנות זדוניות, כאשר קבצי .exe מובילים, ואחריהם .zip, .rar ו-.doc.

טכניקות מתוחכמות כגון מינוף הארכיטקטורה המודולרית של פורמט ZIP, מניפולציה של כותרות קבצים ושרשור קבצי ארכיון מאפשרות לתוקפים לעקוף מערכות זיהוי ולבצע את המטענים שלהם מבלי שיזוהו. האימוץ הנרחב של פורמטים אלה, יחד עם יכולתם להתחמק מאמצעי אבטחה מסורתיים, מדגיש את תפקידם כאיום משמעותי ומתפתח. בבלוג זה נדון במנגנונים הטכניים העומדים מאחורי טכניקות תקיפה אלה, ננתח את יעילותן ונספק צעדים מעשיים לזיהוי ומניעה של איומים מבוססי ארכיון אלה. 

תרחיש 1 – שרשור קבצי ארכיון

התושייה של שרשור קבצי ארכיון חמקמק טמונה ביכולתה לשלב בצורה חכמה קבצי ארכיון מרובים באופן שעוקף שיטות או מגבלות זיהוי מסורתיות, תוך שמירה על הפונקציונליות והנגישות של הנתונים. טכניקה זו משמשת לעתים קרובות בתרחישים יצירתיים או לא קונבנציונליים, כגון עקיפת מגבלות גודל קבצים, ערפול תוכן או אופטימיזציה של אחסון נתונים בדרכים ייחודיות.

יעילותה של טקטיקת התחמקות זו נובעת מההתנהגויות השונות של כלי ניתוח ZIP שונים בעת טיפול בקבצים משורשרים: 

  • 7-Zip: מנתח רק את ארכיון ה-ZIP הראשון, שעשוי להיות שפיר, ולחשוף באופן פוטנציאלי את המטען הזדוני המוטמע בארכיונים הבאים.
  • WinRAR: מעבד ומציג רק את החלק האחרון של מבני ה-ZIP.
  • סייר הקבצים של Windows: ייתכן שלא תצליח לפתוח את הקובץ המשורשר במלואו. עם זאת, אם שם הקובץ משתנה עם סיומת .RAR, ייתכן שהוא יציג רק את ארכיון ה-ZIP השני, תוך השמטת הראשון. 

חוסר עקביות זה בעיבוד קבצי ZIP משורשרים מאפשר לתוקפים להתחמק ממנגנוני גילוי על ידי הטמעת מטענים זדוניים בתוך מקטעי הארכיון שמנתחי ZIP מסוימים אינם מסוגלים או לא נועדו לגשת אליהם.

תרחיש 2 - קבצי ארכיון מטעים

MS Office כארכיון

כאשר רוב האנשים חושבים על ארכיונים, הם מיד חושבים על קבצי ZIP, RAR, או אולי TAR. למרות שאלו אכן פורמטים נפוצים של ארכיון, הם מייצגים רק חלק קטן מהאפשרויות. פורמטים מודרניים רבים של קבצים ממנפים מבני ארכיון ביישומים הבסיסיים שלהם, לעתים קרובות בדרכים שאינן נראות לעין באופן מיידי. 

לדוגמה, קבצי Microsoft Office 2007 (קובצי .docx, .xlsx, .pptx) משתמשים במבני ארכיון. תוקפים מנצלים זאת על ידי יצירת קבצי .pptx שנראים כמצגות PowerPoint סטנדרטיות אך הם ארכיוני ZIP פנימיים (החל מהחתימה 50 4B 03 04). התוקף מטמיע בתוך הארכיון מטען זדוני המחופש לקובץ XML לגיטימי או לתמונה מוטמעת. 

כלי אבטחה לעיתים קרובות מפספסים את האיום הזה משום שהם מתייחסים לקובץ כקובץ .pptx בהתבסס על הסיומת והמבנה שלו, במקום לנתח את ארכיון ה-ZIP הבסיסי. בעוד שכלים כמו WinRAR או 7-Zip יכולים לחשוף את תוכן הקובץ, סורקים אוטומטיים מתמקדים בסוג הקובץ, ומתעלמים מהמטען הנסתר. 

תוקפים עלולים להתחמק מגילוי נוסף על ידי שינוי המבנה הפנימי של ארכיון ה-ZIP, כגון שימוש בשמות קבצים לא סטנדרטיים או הסתרת המטען במיקומים לא ברורים. טקטיקה זו ממנפת את הגמישות של ZIP, ומאפשרת לו להגדיר סוגי קבצים מותאמים אישית כמו .pptx תוך שמירה על אותה חתימה. 

DWF כקובץ ZIP

מבנה קובץ ZIP הוא פורמט נפוץ שחלק מסוגי הקבצים משתמשים בו כדי ליצור פורמטים ייחודיים, תוך שילוב חלק מכותרת קובץ ה-ZIP בעיצוב שלהם. לדוגמה, קובץ DWF סטנדרטי כולל כותרת (28 44 57 46 20 56 30 36 2e 30 30 29) ואחריה חתימת קובץ ה-ZIP [50 4B 03 04) המשלבת את שניהם למבנה קובץ יחיד. כלי אבטחה כמו 7-Zip בדרך כלל מחלצים קבצי ZIP על ידי זיהוי כותרת הקובץ כ-[50 4B 03 04). עם זאת, במקרה של קובץ DWF, כלים אלה מתייחסים אליו כקובץ שאינו ארכיון ואינם מנסים לחלץ את תוכנו.  

התוקפים מנצלים התנהגות זו על ידי יצירת קבצים זדוניים המתחילים בכותרת שאינה ZIP (כגון כותרת DWF), ולאחריה חתימת ZIP ותוכן זדוני מוסתר. כאשר קובץ כזה נפתח בתוכנת צפייה ב-DWF, התוכנה מעבדת אותו כמסמך לגיטימי, מתעלמת מנתוני ה-ZIP שצורפו ומשאירה את המטען במצב לא פעיל. עם זאת, אם אותו קובץ מעובד על ידי archive extraction , הכלי מזהה את חתימת ה-ZIP, מחלץ את המטען ומבצע אותו. סורקי אבטחה וכלי חילוץ רבים אינם מצליחים לזהות ארכיונים מוסווים מסוג זה, מכיוון שהם מסתמכים על הכותרת הראשונית של הקובץ כדי לקבוע את הפורמט שלו. 

טכניקה זו יעילה ביותר משום שהיא מנצלת מגבלה אינהרנטית בכמות הכלים המעבדים כותרות קבצים. כלי אבטחה שאינם מבצעים בדיקות מעמיקות או סורקים מעבר לכותרת הראשונית עלולים לאפשר לארכיון הזדוני לחמוק דרך הגנות מבלי להתגלות. 

חילוץ וסריקה רקורסיבית של ארכיונים באמצעות OPSWAT MetaDefender פּלַטפוֹרמָה

סביבות ארגוניות מודרניות מסתמכות על מגוון כלים — כגון תוכנות אנטי-וירוס, חומות אש ומערכות EDR (זיהוי ותגובה בנקודות קצה) — כדי לזהות ולחסום תוכנות זדוניות המנסות לפגוע בתשתית הקריטית שלהן. עם זאת, לאמצעי הגנה אלה יש לעתים קרובות נקודות תורפה שגורמי איום מנצלים באופן קבוע. כדי לזהות ולהתמודד ביעילות עם טקטיקות התחמקות אלה, בואו נבחן מקרוב כיצדMetaDefender OPSWAT MetaDefender יכולה להגדיר באופן גמיש את המנועים המרכזיים שלה, כולל Metascan™ Multiscanning, Archive Extraction וטכנולוגיית Deep CDR™, כדי לאבטח את המערכות שלכם. 

איתור איומים בתרחיש 1 באמצעות Archive Extraction סטנדרטי 

כדי להדגים את טכניקת התקפת שרשור הארכיונים, ראשית אנו שולחים את קובץ ה-ZIP כארכיון רגיל ומאפשרים למנועי האנטי-וירוס (AV) לטפל בחילוץ ה-ZIP ובסריקת התוכנות הזדוניות. רק 16 מתוך 34 מנועי AV מסוגלים לזהות את התוכנה הזדונית. 

דוח אבטחה המראה שקובץ ZIP נגוע, כאשר 16 מתוך 34 מנועי סריקה מזהים תוכנות זדוניות

בשלב הבא, נוסיף שכבה אחת של מורכבות לקובץ הארכיון הרגיל.

גרפיקה המציגה קובץ ZIP, המדגישה את ההבדל בין תוכן זדוני ותוכן שפיר

רק 11 מתוך 34 מנועי אנטי-וירוס מזהים את הנוזקה. Metascan מטפל במקרה זה ביעילות.

תוצאת סריקת אבטחה המצביעה על קובץ ZIP נגוע, כאשר 11 מתוך 34 מנועי סריקה מזהים איומים

לבסוף, נוסיף שכבה נוספת לקובץ ה-ZIP הרגיל. 

תמונה קונספטואלית המציגה קובץ ZIP המכיל אלמנטים זדוניים ושפירים כאחד

הפעם, רק 7 מתוך 34 מנועי אנטי-וירוס מזהים את הנוזקה, וארבעת מנועי ה-אנטי-וירוס שזיהו אותה בעבר נכשלו בכך כעת. 

ניתוח אבטחה של קובץ ZIP, שחשף כי 7 מתוך 34 מנועי סריקה זיהו תוכנות זדוניות

בנוסף, בדקנו זאת באמצעות archive extraction חיצוני archive extraction . עם זאת, הכלי בודק רק את החלק הראשון והאחרון של קובץ הארכיון, ומדלג על החלק האמצעי שבו מאוחסן קובץ התוכנה הזדונית. 

עץ קבצים המציג את תוכן קובץ ZIP, כולל נתוני PDF ו-JSON

איתור איומים בתרחיש 1 באמצעותArchive Extraction OPSWAT Archive Extraction

Archive Extraction מחלץ את קובץ ה-ZIP במלואו, ובכך מאפשר למנועי האנטי-וירוס לסרוק את הקבצים המקוננים.

קובץ ZIP חסום בשם "good_infected_good_1.zip" סומן כנגוע על ידי 7 מתוך 34 מנועי סריקה.

תוצאת הסריקה עבור הקבצים המקוננים הללו מוצגת להלן: 

דוח זיהוי תוכנות זדוניות המציג קובץ הפעלה בתוך ארכיון ZIP, כאשר 20 מתוך 34 מנועי סריקה מזהים איומים

בנוסף, כאשר טכנולוגיית Deep CDR™ מופעלת, היא יוצרת קובץ חדש ללא התוכן הזדוני, כפי שמודגם להלן: 

צילום מסך המציג שני מסמכי טקסט שעברו ניקוי שחולצו מארכיון ZIP

איתור איומים בתרחיש 2 ללא Archive Extraction 

ראשית אנו מעלים קובץ הממנף טכניקות ששימשו בתרחיש 2 כדי MetaDefender Core הקובץ נסרק באמצעות Metascan לאיתור תוכנות זדוניות אפשריות. התוצאות הן כדלקמן: 

דוח סריקת תוכנות זדוניות של קובץ .dwf של AutoCAD, שסומן כנגוע על ידי 2 מתוך 12 מנועי סריקה

רק 2 מתוך 12 מנועי אנטי-וירוס פופולריים ב-Metascan יכולים לזהות את התוכנה הזדונית. משמעות הדבר היא שמספר משמעותי של ארגונים עשויים להיות פגיעים להתקפות המנצלות את המורכבויות של פורמט הארכיון. 

איתור איומים בתרחיש 2 באמצעותArchive Extraction OPSWAT Archive Extraction

5 מתוך 12 מנועי אנטי-וירוס פופולריים מזהים את האיום בתוך קובץ ה-.dwf.

Archive Extraction ממשיך לחלץ את הקובץ ולנתח את הקבצים הנמצאים בתוכו. 

דוח סריקת אבטחה המציג קובץ AutoCAD זדוני שזוהה עם פרטים על איומים, ניקוי ואימות קבצים

כל הקבצים המקוננים שחולצו נסרקים שוב באמצעות Metascan, שם 9 מתוך 12 מנועי אנטי-וירוס מזהים את האיום. 

ניתוח מעמיק יותר של קובץ AutoCAD זדוני שזוהה, הצגת תוכן הארכיון שחולץ והערכות אבטחה

אוֹדוֹת OPSWAT Core טכנולוגיות 

Metascan Multiscanning

מטאסקאן Multiscanning היא טכנולוגיה מתקדמת לגילוי ומניעת איומים המגבירה את שיעורי הגילוי, מקצרת את זמני גילוי התפרצויות ומספקת חוסן לפתרונות אנטי-וירוס של ספק יחיד. מנוע אנטי-וירוס יחיד יכול לזהות 40%-80% מהתוכנות הזדוניות. OPSWAT Multiscanning מאפשר לך לסרוק קבצים עם למעלה מ-30 מנועי אנטי-וירוס, הן מקומיים והן בענן, כדי להשיג שיעורי זיהוי גבוהים מ-99%.

Archive Extraction

זיהוי איומים בקבצים דחוסים, כגון ‎.ZIP או ‎.RAR, יכול להיות קשה בשל גודל הקובץ הגדול שלהם ויכולתם להסוות איומים נסתרים בארכיונים. MetaDefender מציע עיבוד מהיר של ארכיונים בכך שהוא מאפשר למנהלי מערכת לבצע טיפול בארכיון פעם אחת עבור כל סוג קובץ, במקום לדרוש מכל מנוע אנטי-וירוס להשתמש בשיטות טיפול בארכיון משלו. בנוסף, מנהלי מערכת יכולים להתאים אישית את אופן ביצוע סריקת הארכיון כדי להימנע מאיומים כמו פצצות ZIP. 

טכנולוגייה Deep CDR™‎

פתרונות אנטי-וירוס מסורתיים מפספסים איומים לא ידועים. טכנולוגיית Deep CDR™‎ מבטלת אותם לחלוטין. כל קובץ מנוטרל ונוצר מחדש, מה שמבטיח שרק תוכן בטוח, נקי ושימושי יגיע למערכות שלך. על ידי התמקדות במניעה ולא רק בגילוי, טכנולוגיית Deep CDR™‎ משפרת את ההגנות מפני תוכנות זדוניות, ומגנה על ארגונים מפני התקפות מבוססות קבצים, כולל איומים ממוקדים. היא מנטרלת אובייקטים שעלולים להזיק בקבצים החוצים תעבורת רשת, דוא"ל, העלאות, הורדות ומדיה ניידת לפני שהם מגיעים לרשת שלך.

איתור איומים מתחמקים באמצעותArchive Extraction OPSWAT 

גורמי האיום מפגינים גמישות הולכת וגוברת בשיטותיהם לחדור למערכות ולהוציא מידע רגיש. באמצעות שימוש בכלים הנכונים לזיהוי ולצמצום הפרות אבטחה, ארגונים יכולים למנוע מאויבים אלה להשיג גישה לנתונים קריטיים ולהתפשט לרוחב הרשת. באמצעות Archive Extraction ) החזק MetaDefender Core, תוכלו לחזק את ההגנה שלכם מפני תוכנות זדוניות מוטמעות שעלולות לחמוק מכלי החילוץ של מנועי האנטי-וירוס הבודדים.

OPSWAT MetaDefender Core 

משלב יכולות מתקדמות למניעה וזיהוי של תוכנות זדוניות בפתרונות ותשתיות ה-IT הקיימים שלך לטיפול טוב יותר בווקטורי תקיפה נפוצים על ידי אבטחת פורטלים באינטרנט מפני התקפות זדוניות על העלאת קבצים, הרחבת מוצרי אבטחת סייבר ופיתוח מערכות ניתוח תוכנות זדוניות משלך. 

OPSWAT MetaDefender Core 

משלב יכולות מתקדמות למניעה וזיהוי של תוכנות זדוניות בפתרונות ותשתיות ה-IT הקיימים שלך לטיפול טוב יותר בווקטורי תקיפה נפוצים על ידי אבטחת פורטלים באינטרנט מפני התקפות זדוניות על העלאת קבצים, הרחבת מוצרי אבטחת סייבר ופיתוח מערכות ניתוח תוכנות זדוניות משלך. 

תגיות:

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים, סיפורי לקוחות, מידע על אירועים ותכנים נוספים.