So scannen Sie Zip-Dateien auf Malware-Bedrohungen

Antivirus-Lösungen und vorläufige Antivirenscans sind seit Langem der Standard zur Verhinderung von Malware in Dateien. Aus dieser Erkenntnis heraus haben Hacker Techniken entwickelt, um Viren und andere Malware in komplexen zusammengesetzten Dateien wie ZIP-Dateien und Archiven zu verstecken. Obwohl ZIP-Dateien an sich nicht gefährlich sind, haben sie sich zu einem bevorzugten Format für Cyberkriminelle entwickelt, die Phishing-Kampagnen durchführen, Ransomware einschleusen und andere bösartige Aktionen ausführen, um Malware auf ahnungslose Personen loszulassen.

Dieser Artikel erörtert, warum ZIP-Dateien hervorragende Vektoren zum Verstecken von bösartigem Code darstellen, gibt einen Überblick darüber, wie man eine ZIP-Datei auf Viren und Malware-Bedrohungen scannt, warum bestehende erkennungsbasierte Lösungen hinterherhinken, und bietet eine Übersicht darüber, wie Menlo File Security schwer erkennbare Malware in ZIP-Dateien verhindert.

‍

Warum Hacker ZIP-Dateien lieben

Zip-Dateien wurden „gezippt“ oder komprimiert, um ihre Größe zu reduzieren. Sobald Sie eine .zip-Datei erstellt haben Um auf eine Datei zugreifen zu können, müssen Sie die darin enthaltenen Dateien „entpacken“ oder extrahieren.

Diese gezippten oder archivierten Dateien stellen eine Herausforderung für die zuverlässige Bedrohungserkennung dar. Das liegt daran, dass das Scannen einer ZIP-Datei möglicherweise nicht zeigt, dass infizierte oder verdächtige Dateien darin existieren, weil die Bedrohungen in den Schichten des Archivs versteckt sind. Das Erkennen von Viren und anderer in einer ZIP-Datei verborgener Malware erfordert zunächst das Auspacken der archivierten Datei. Antivirus-Lösungen entpacken oft keine ZIP-Dateien, weshalb bösartige ZIP-Dateien unentdeckt bleiben.

‍

Warum ist Antivirus gegen ZIP-Dateien nicht wirksam?

Antivirus-Software überprüft kontinuierlich ein Repository bekannter Malware-Signaturen, um verdächtige oder bösartige Dateien zu identifizieren, um sie unter Quarantäne zu stellen oder sie zu zerstören, bevor sie Schaden anrichten können. Einige Antivirus-Programme können zwar Zip-Dateien überprüfen, aber nicht alle Antivirus-Produkte sind gleich:

• Einige Antivirus können die Zip-Dateien vorübergehend dekomprimieren und den Inhalt scannen.
• Die meisten AV-Anbieter können den Dateiinhalt erst scannen, wenn die Dateien vollständig extrahiert wurden – komprimierte Dateien sind im Wesentlichen „nicht scannbar“ und werden nicht durch AV geschützt.

‍

Nur Schutz vor bekannten Signaturen

Darüber hinaus können selbst die Antivirus-Softwares, die in der Lage sind, eine Datei zu entpacken, nur vor bekannten Bedrohungen schützen. Sicherheitsteams müssen regelmäßig Softwareversionen aktualisieren, und der Softwareanbieter muss eine aktuelle Bibliothek von Malware-Signaturen pflegen. Für Antivirus ist es nahezu unmöglich, mit der sich ständig verändernden Risikooberfläche Schritt zu halten, die unbekannte Bedrohungen und Zero-Day-Exploits umfasst, die Zip-Dateien als Waffe eingesetzt werden können.

‍

KI/ML = hohe Anzahl falsch positiver Ergebnisse

Da der Antivirus immer ausgefeilter wird und versucht, unbekannte und noch nie zuvor gesehene Malware mithilfe von KI oder maschinellem Lernen zu identifizieren, liefert er in der Regel eine große Anzahl von falsch-positiven Ergebnissen, die die Produktivität des Unternehmens stören und die Zeit der Benutzer vergeuden. Da SOCs bereits überlastet sind und die Sicherheitsteams unterbesetzt sind, ist das Letzte, was sie brauchen, ein AV-Tool, das ihren Arbeitsalltag noch komplizierter macht, anstatt ihn zu erleichtern.

‍

Verringerte Geschäftsproduktivität

Wenn Unternehmen eine Blockierliste für Zip-Dateien verwenden, stört dies die IT-Administratoren, die regelmäßig Dateien wiederherstellen müssen, die erwartet, aber automatisch blockiert wurden, was ihre Arbeit zusätzlich belastet. Darüber hinaus verursacht das Blocklisting Störungen für Endbenutzer, die Dateien von Drittanbietern wie Partnern und Kunden erwarten und diese schnell bearbeiten müssen, anstatt darauf zu warten, dass sie von der IT freigegeben werden.

‍

Heute Zip-Dateien scannen

Es gibt zwei Ansätze für den Umgang mit versteckten Bedrohungen in Zip-Dateien. Eine Möglichkeit erfordert manuelle Konfigurationsänderungen, um Endpunkte gegen diese Bedrohungen abzusichern, während die andere automatisierte Analyse und fortschrittliche Content entwaffnen und Rekonstruktion (CDR) verwendet, um Bedrohungen zu eliminieren.

‍

Altlast-Tipps zum Scannen von Zip-Dateien auf Viren, um sich zu schützen

Ein Ansatz zur Bekämpfung versteckter Bedrohungen in ZIP-Dateien besteht darin, jeden Endpunkt sicherer zu gestalten und Dateien und E-Mails automatisch zu scannen. Die folgenden Schritte können Sie unternehmen, um sich vor Viren und Malware zu schützen, die sich möglicherweise in Zip-Dateien verstecken:

1. WinZip aktualisieren – Stellen Sie sicher, dass Sie die neueste Version von WinZip ausführen, da sie kritische sicherheitsbezogene Korrekturen und Verbesserungen enthält.
2. Aktualisieren Sie Ihr Antivirusprogramm – Die neuesten Definitionen sind entscheidend, um mit den neuesten Signaturen auf dem Laufenden zu bleiben. Forscher entdecken täglich neue Schadsoftware, und die neuesten Signaturen enthalten zwar die aktuellsten Entdeckungen, können aber dennoch Zero-Day-Bedrohungen übersehen.
3. Konfigurieren Sie Ihren Antivirus – Passen Sie das Programm so an, dass es ALLE Dateien und E-Mails scannt und jede vermutete infizierte Nachricht isoliert.
4. Deaktivieren Sie „Versteckte Dateinamenerweiterungen“ – Dadurch wird verhindert, dass Windows Dateinamenerweiterungen wie .EXE, .DOC und .ZIP oder andere erkannte Dateitypen ausblendet. Zum Beispiel kann eine bösartige invoice.jpg.zip als invoice.jpg erscheinen, verschweigt, dass es sich um eine Zip-Datei handelt, die beim Öffnen schädlich sein könnte.
5. Passwort hinzufügen – ZIP-Dateien durch das Anbringen eines Passworts zu schützen, macht es für Cyberkriminelle schwieriger, sie zu verändern. Klicken Sie in Windows mit der rechten Maustaste auf die ZIP-Datei, wählen Sie „Senden an“ und dann „ZIP-Ordner (komprimiert)“. Folgen Sie den Anweisungen, um den Ordner zu speichern.
6. Beste Praxis etablieren – Öffnen Sie niemals eine an eine E-Mail unbekannter Herkunft angehängte ZIP-Datei und laden Sie keine ZIP-Datei von nicht vertrauenswürdigen Websites herunter. Natürlich könnte das in Ihrem Berufsfeld nicht möglich sein oder die Dinge erheblich verlangsamen!

‍

Obwohl dieser Prozess effektiv für den Schutz vor Viren ist, ist er auch zeitaufwändig und manuell. Es lässt sich nicht gut skalieren, um mehrere Benutzer zu schützen. Moderne Unternehmen benötigen einen stärker automatisierten Ansatz, der schnell und effizient ist und für mehrere Benutzer skaliert werden kann.

‍

Bereinigen von Dateien mit Content entwaffnen & Reconstruction-Technologie.

Nur weil Ihr Unternehmen derzeit nicht über ausreichenden Schutz gegen alle versteckten Bedrohungen in Zip-Dateien verfügt, heißt das nicht, dass Sie ohne Schutz bleiben müssen. Menlo erledigt die lästige Nummer vier in der obigen Liste: "versteckte Dateinamenserweiterungen" deaktivieren. Der erste Schritt zur Bereinigung von Dateien mit Menlo besteht darin, die Datei in TrueType umzuwandeln. Versteckte Erweiterungen und absichtlich verschleierte Dateien werden analysiert und auf ihre tatsächliche Endung korrigiert.

Menlo ist eine API, die sich nahtlos in Ihre bestehende Umgebung integriert. Anstatt Benutzer Schritte ausführen zu lassen, die sie beim Säubern einer Datei vergessen könnten, werden Dateien automatisch desinfiziert und von Malware bereinigt, wenn sie organisatorische Grenzen überschreiten. Dies stellt sicher, dass Inhalte immer sicher zu verwenden, zu teilen, zu bearbeiten, herunterzuladen und zuzugreifen sind.

‍

Wie Menlo die Bedrohung durch Zip-Dateien bekämpft

Die einzige bewährte Methode, um zu verhindern, dass als Waffe eingesetzte ZIP-Dateien in Ihr Netzwerk eindringen, ist die Anwendung eines Zero Trust-Ansatzes für Dateien – einschließlich ZIP-Dateien. Bei Menlo durchläuft jedes Dateielement einen Dateibereinigungsprozess – auch CDR genannt. Dateien werden dekonstruiert und nur aus vertrauenswürdigen Teilen, die als sicher bekannt sind, neu aufgebaut, wodurch beliebige bösartige Inhalte im Prozess eliminiert werden. Die neue Datei wird mit allen sicheren Funktionen des Originals neu erstellt, aber ohne versteckte Bedrohungen.

Mehr erfahren über die Implementierung der patentierten Technologie von Menlo zur Dateisäuberung, um Ihr Netzwerk vor bösartigen Zip-Dateien und anderen Bedrohungen zu schützen, vereinbaren Sie bitte noch heute eine Demo.

‍