अतीत में, पैक्ड, सेल्फ-एक्सट्रैक्टिंग आर्काइव्स में अक्सर मैलवेयर होते थे। एक नया घोटाला दिखाता है: क्राउडस्ट्राइक के अनुसार, सेल्फ-एक्सट्रैक्टिंग आर्काइव में कोई मैलवेयर नहीं होता है, लेकिन विंडोज़ में खोले जाने पर कमांड निष्पादित करता है, जो मैलवेयर तब पकड़ सकता है।
कंपनियों में कई कर्मचारी ZIP, 7zip या WinRAR जैसे पैकर पर भरोसा करते हैं ताकि ईमेल के माध्यम से बड़ी फ़ाइलों को अधिक तेज़ी से पहुँचाया जा सके। स्व-निकालने वाले अभिलेखागार भी व्यापार जगत में लोकप्रिय हैं। संग्रह एक EXE फ़ाइल है और इसे एक क्लिक के साथ अनपैक किया जा सकता है। उदाहरण के लिए, भले ही आउटलुक EXE फाइल के साथ मेल अटैचमेंट को ब्लॉक कर देता है, फिर भी यह ZIP फाइल को EXE फाइल में प्लग करने की अनुमति देता है। अच्छे स्कैनर्स ने डबल-पैक्ड आर्काइव्स में भी मैलवेयर का पता लगाया है। नतीजतन, हमलावर अब पहले से न सोचा कर्मचारियों को फंसाने के नए तरीके खोज रहे हैं।
Emotet एन्क्रिप्टेड अभिलेखागार का उपयोग करता है
Emotet पर, हानिरहित डिकॉय फ़ाइलों वाला एक संग्रह और दूसरा लेकिन एन्क्रिप्टेड संग्रह उपयोगकर्ताओं को भेजा गया था। स्कैन केवल हानिरहित फाइलों को प्रकट करता है क्योंकि एन्क्रिप्टेड भाग की अक्सर जांच नहीं की जा सकती है। आर्काइव में छिपे हुए पैरामीटर और कमांड दिखाई नहीं देते हैं। यदि सेल्फ-एक्सट्रैक्टिंग आर्काइव अब अनपैक्ड है, तो टूल पैक की गई फाइलों को लिखता है और दूसरा, एन्क्रिप्टेड आर्काइव शुरू करता है। इसके बाद पासवर्ड को इस आर्काइव में मापदंडों के माध्यम से पास किया जाता है, और Emotet फ़ाइल को अनपैक और निष्पादित किया जाता है।
कमान की श्रृंखला के साथ अभिलेखागार
यदि एक सेल्फ-एक्सट्रैक्टिंग आर्काइव - संक्षेप में SFX - एक क्लिक के साथ निष्पादित किया जाता है, तो सामग्री निकाली जाती है। यदि, उदाहरण के लिए, मैलवेयर तब सिस्टम को लिखा जाता है, तो एक समापन बिंदु सुरक्षा समाधान आमतौर पर इसे मज़बूती से बंद कर देता है। लेकिन: क्राउडस्ट्राइक को मिले आर्काइव में कोई मैलवेयर नहीं है। इसके बजाय, एसएफएक्स फाइलें कमांड की एक श्रृंखला को निष्पादित करती हैं जो आप उन्हें काफी नियमित रूप से दे सकते हैं। एक रिकॉर्ड किए गए मामले में, एक रजिस्ट्री कुंजी को एक पैरामीटर के माध्यम से विंडोज में पास किया गया था। इसका मतलब यह था कि एक मानक व्यवस्थापक खाते की तुलना में उच्च अधिकारों के साथ आदेश चलाना संभव था।
क्राउडस्ट्राइक ने एक ब्लॉग पोस्ट में रिकॉर्ड किया है कि कैसे ये जाल व्यवहार में काम करते हैं और जंगली में पाए जाने वाले उदाहरणों के अलग-अलग जाल की व्याख्या करते हैं।
Crowdstrike.com पर अधिक
क्राउडस्ट्राइक के बारे में क्राउडस्ट्राइक इंक., एक वैश्विक साइबर सुरक्षा अग्रणी, वर्कलोड और एंडपॉइंट्स की सुरक्षा के लिए अपने पुन: डिज़ाइन किए गए प्लेटफ़ॉर्म के साथ क्लाउड युग में सुरक्षा को पुनर्परिभाषित कर रहा है। क्राउडस्ट्राइक फाल्कन® प्लेटफॉर्म का लीन, सिंगल-एजेंट आर्किटेक्चर एंटरप्राइज-वाइड सुरक्षा और दृश्यता के लिए क्लाउड-स्केल आर्टिफिशियल इंटेलिजेंस का लाभ उठाता है। यह नेटवर्क के अंदर और बाहर दोनों उपकरणों पर हमलों को रोकता है। मालिकाना क्राउडस्ट्राइक थ्रेट ग्राफ® का उपयोग करते हुए, क्राउडस्ट्राइक फाल्कन दुनिया भर में दैनिक और वास्तविक समय में लगभग 1 ट्रिलियन एंडपॉइंट से संबंधित घटनाओं को सहसंबंधित करता है। यह क्राउडस्ट्राइक फाल्कन प्लेटफॉर्म को दुनिया के सबसे उन्नत साइबर सुरक्षा डेटा प्लेटफॉर्मों में से एक बनाता है।