外媒網站披露,網路犯罪分子可在 WinRAR 檔案解壓縮軟體中添加惡意功能,這些檔案包含無害的誘餌檔,能夠在不觸發目標系統的安全代理程式下,佈署後門。
用 WinRAR 或 7-Zip 等壓縮軟體創建的自解壓縮檔(SFX)本質上是包含資料的可執行檔,以及一個內建解壓縮存根(解壓縮資料的程式碼),對這些檔案的存取可以有密碼保護,以防止未經授權的存取。
使用7-Zip建立受密碼保護的SFX檔案 (來源:CrowdStrike)
網路安全公司 CrowdStrike 的研究人員在最近的一次事件發現了 SFX 濫用。
SFX 攻擊
Crowdstrike 發現了網路犯罪分子使用竊取來的憑證濫用“utilman.exe”,將該檔案植入程式,並設置為受密碼保護的 SFX 檔。 Utilman 是一種可存取的應用程式,可以在使用者登錄之前執行,經常被駭客濫用來繞過系統身份驗證。
utilman.exe 觸發的 SFX 檔不僅受密碼保護,而且包含一個用作誘餌的空文字檔。此SFX 檔的真正用途是濫用 WinRAR 的設置選項,以系統許可權運行 PowerShell、Windows 命令(cmd.exe)和工作管理員。
CrowdStrike 的研究人員發現攻擊者在目標提取存檔的文字檔後添加了多個命令來運行。雖然檔案中沒有惡意軟體,但威脅攻擊者在設置功能表下添加了建立 SFX 檔案的命令,該檔案可能成為開啟目標系統的後門。
如上圖所示,注釋顯示在攻擊者自訂 SFX 存檔後,在提取過程中不會顯示任何對話方塊和視窗。此外,威脅攻擊者還添加了運行 PowerShell、命令提示和工作管理員的指令。WinRAR 提供了一組高級 SFX 選項,允許添加一個可執行檔清單,以便在進程之前或之後自動運行,如果存在同名條目,還可以覆蓋目的檔案夾中的現有檔。
Crowdstrike 表示這個 SFX 檔案可以從登錄螢幕上運行,所以攻擊者實際上有個持久後門,只要提供了正確的密碼,就可以存取它來運行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 許可權的工作管理員。
研究人員進一步強調,傳統的反病毒軟體很可能無法檢測到這種類型的攻擊,畢竟檢測軟體只在檔案(通常也有密碼保護)中尋找惡意軟體,而不是 SFX 檔案解壓縮器存根的行為。
Crowdstrike 聲稱,惡意的 SFX 檔不太可能被傳統防禦機制偵測到。在測試過程中,安全人員創建了一個自訂的 SFX 存檔以提取後運行 PowerShell 時,Windows Defender 做出了反應,然而,僅僅只記錄了一次這種反應,無法複製。
研究人員建議使用者應特別注意 SFX 檔案,並使用適當的軟體檢查檔案的內容。
本文轉載自BleepingComputer。