黑客正在向包含無害誘餌文件的 WinRAR 自解壓文件中添加惡意功能，從而允許他們在不觸發(fā)目標(biāo)系統(tǒng)上的安全代理的情況下植入后門。

使用 WinRAR 或 7-Zip 等壓縮軟件創(chuàng)建的自解壓存檔 (SFX) 本質(zhì)上是包含存檔數(shù)據(jù)以及內(nèi)置解壓縮（用于解壓數(shù)據(jù)的代碼）的可執(zhí)行文件。可以使用密碼保護(hù)對這些文件的訪問，以防止未經(jīng)授權(quán)的訪問。

使用 7-Zip 來源創(chuàng)建的受密碼保護(hù)的 SFX 文件

網(wǎng)絡(luò)安全公司 CrowdStrike 的研究人員在最近的事件響應(yīng)調(diào)查中發(fā)現(xiàn)了 SFX 自解包文件的濫用行為。

野外的SFX攻擊

Crowdstrike 的分析發(fā)現(xiàn)，一個對手使用竊取的憑據(jù)濫用“utilman.exe”，并將其設(shè)置為啟動一個先前植入系統(tǒng)中的受密碼保護(hù)的 SFX 文件。

Utilman 是一個輔助功能應(yīng)用程序，可以在用戶登錄之前執(zhí)行，經(jīng)常被黑客濫用以繞過系統(tǒng)身份驗證。

登錄屏幕上的 utilman 工具

由 utilman.exe 觸發(fā)的 SFX 文件受密碼保護(hù)，并包含一個用作誘餌的空文本文件。

SFX 文件的真正功能是濫用 WinRAR 的設(shè)置選項來運(yùn)行 PowerShell、windows 命令提示符 (cmd.exe) 和具有系統(tǒng)權(quán)限的任務(wù)管理器。

CrowdStrike 的 Jai Minton 仔細(xì)研究了所使用的技術(shù)，發(fā)現(xiàn)攻擊者在目標(biāo)提取存檔文本文件后添加了多個要運(yùn)行的命令。

雖然存檔中沒有惡意軟件，但攻擊者在設(shè)置菜單下添加了命令，用于創(chuàng)建 SFX 自解包存檔文件，這將在系統(tǒng)打開一個后門。

WinRAR SFX 設(shè)置中允許后門訪問

如上圖所示，攻擊者自定義了 SFX 存檔，因此在提取過程中不顯示對話框和窗口。攻擊者還添加了運(yùn)行 PowerShell、命令提示符和任務(wù)管理器的指令。

WinRAR 提供一組高級 SFX 選項，允許添加可執(zhí)行文件列表以在進(jìn)程之前或之后自動運(yùn)行，以及如果存在具有相同名稱的條目，則覆蓋目標(biāo)文件夾中的現(xiàn)有文件。

“因為這個 SFX 存檔可以從登錄屏幕運(yùn)行，所以對手實(shí)際上有一個持久的后門，只要提供正確的密碼，就可以訪問它來運(yùn)行 PowerShell、Windows 命令提示符和具有 NT AUTHORITYSYSTEM 權(quán)限的任務(wù)管理器。” Crowdstrike 解釋道。

研究人員補(bǔ)充說：“這種類型的攻擊很可能仍未被傳統(tǒng)防病毒軟件檢測到，傳統(tǒng)防病毒軟件正在尋找存檔內(nèi)部的惡意軟件（通常也受密碼保護(hù)），而不是來自 SFX 自解包文件的行為。”

觀察到的攻擊鏈

Crowdstrike 聲稱惡意 SFX 文件不太可能被傳統(tǒng)的 AV 解決方案捕獲。在我們（bleepingcomputer.com）的測試中，Windows Defender 在我們創(chuàng)建自定義自解壓存檔以在提取后運(yùn)行 PowerShell 時做出反應(yīng)。

Microsoft 的安全代理將生成的可執(zhí)行文件檢測為跟蹤為 Wacatac 的惡意腳本并將其隔離。然而，我們只記錄了一次這種反應(yīng)，無法復(fù)現(xiàn)。

研究人員建議用戶特別注意 SFX 自解包檔案文件，使用適當(dāng)?shù)能浖頇z查自解包存檔文件的內(nèi)容并尋找潛在的腳本或計劃在提取壓縮文件時運(yùn)行的命令。

參考鏈接：
https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/