黑客正在向包含無害誘餌檔案的 WinRAR 自解壓檔案中添加惡意功能,進而允許他們在不觸發目标系統上的安全代理的情況下植入後門。
使用 WinRAR 或 7-Zip 等壓縮軟體建立的自解壓存檔 (SFX) 本質上是包含存檔資料以及内置解壓縮(用于解壓資料的代碼)的可執行檔案。可以使用密碼保護對這些檔案的通路,以防止未經授權的通路。
使用 7-Zip 來源建立的受密碼保護的 SFX 檔案
網絡安全公司 CrowdStrike 的研究人員在最近的事件響應調查中發現了 SFX 自解封包件的濫用行為。
野外的SFX攻擊
Crowdstrike 的分析發現,一個對手使用竊取的憑據濫用“utilman.exe”,并将其設定為啟動一個先前植入系統中的受密碼保護的 SFX 檔案。
Utilman 是一個輔助功能應用程式,可以在使用者登入之前執行,經常被黑客濫用以繞過系統身份驗證。
登入螢幕上的 utilman 工具
由 utilman.exe 觸發的 SFX 檔案受密碼保護,并包含一個用作誘餌的空文本檔案。
SFX 檔案的真正功能是濫用 WinRAR 的設定選項來運作 PowerShell、Windows 指令提示符 (cmd.exe) 和具有系統權限的任務管理器。
CrowdStrike 的 Jai Minton 仔細研究了所使用的技術,發現攻擊者在目标提取存檔文本檔案後添加了多個要運作的指令。
雖然存檔中沒有惡意軟體,但攻擊者在設定菜單下添加了指令,用于建立 SFX 自解包存檔檔案,這将在系統打開一個後門。
WinRAR SFX 設定中允許後門通路
如上圖所示,攻擊者自定義了 SFX 存檔,是以在提取過程中不顯示對話框和視窗。攻擊者還添加了運作 PowerShell、指令提示符和任務管理器的指令。
WinRAR 提供一組進階 SFX 選項,允許添加可執行檔案清單以在程序之前或之後自動運作,以及如果存在具有相同名稱的條目,則覆寫目标檔案夾中的現有檔案。
“因為這個 SFX 存檔可以從登入螢幕運作,是以對手實際上有一個持久的後門,隻要提供正确的密碼,就可以通路它來運作 PowerShell、Windows 指令提示符和具有 NT AUTHORITY\SYSTEM 權限的任務管理器。” Crowdstrike 解釋道。
研究人員補充說:“這種類型的攻擊很可能仍未被傳統防病毒軟體檢測到,傳統防病毒軟體正在尋找存檔内部的惡意軟體(通常也受密碼保護),而不是來自 SFX 自解封包件的行為。”
觀察到的攻擊鍊
Crowdstrike 聲稱惡意 SFX 檔案不太可能被傳統的 AV 解決方案捕獲。在我們(bleepingcomputer.com)的測試中,Windows Defender 在我們建立自定義自解壓存檔以在提取後運作 PowerShell 時做出反應。
Microsoft 的安全代理将生成的可執行檔案檢測為跟蹤為 Wacatac 的惡意腳本并将其隔離。然而,我們隻記錄了一次這種反應,無法複現。
研究人員建議使用者特别注意 SFX 自解包檔案檔案,使用适當的軟體來檢查自解包存檔檔案的内容并尋找潛在的腳本或計劃在提取壓縮檔案時運作的指令。
參考連結:https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/