SFX-архивы могут скрыто запускать PowerShell

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 4 Apr 2023.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,062
    Reputations:
    693
    Компания CrowdStrike предупреждает, что хакеры добавляют вредоносные функции в самораспаковывающиеся архивы (SFX), содержащие безвредные файлы-приманки. Это простая уловка позволяет злоумышленникам внедрять бэкдоры на машины жертв, не поднимая «тревоги».

    Исследователи напоминают, что самораспаковывающиеся архивы, созданные с помощью таких архиваторов, как WinRAR и 7-Zip, по сути, представляют собой исполняемые файлы, которые содержат архивные данные вместе со встроенной функциональностью для распаковки. Доступ к таким файлам может быть защищен паролем для предотвращения несанкционированного доступа. Изначально SFX-файлы были созданы, чтобы упростить распространение данных среди пользователей, у которых нет архиватора для распаковки.


    [​IMG]
    Защищенный паролем SFX-файл
    Недавно эксперты Crowdstrike обнаружили злоумышленника, который использовал украденные учетные данные для злоупотребления utilman.exe (приложение специальных возможностей, которое можно запустить до входа пользователя в систему) и настроил его для запуска защищенного паролем SFX-файла, который был предварительно помещен в систему.

    [​IMG]

    Файл SFX, запускаемый utilman.exe, был защищен паролем и содержал пустой текстовый файл, который служил приманкой. Настоящее предназначение архива заключалось в запуске PowerShell, командной строки Windows (cmd.exe) и «Диспетчера задач» с системными привилегиями.

    Дальнейший анализ угрозы показал, что злоумышленник добавил сразу несколько команд, которые запускались после того, как цель распаковала архивный текстовый файл.

    [​IMG]

    Как видно на скриншоте выше, атакующий настроил SFX-архив таким образом, чтобы в процессе извлечения не отображалось диалоговых окон. Также он добавил инструкции по запуску PowerShell, командной строки и «Диспетчера задач».



    Дело в том, что WinRAR предлагает набор расширенных настроек для SFX, которые позволяют добавлять список исполняемых файлов для автоматического запуска до или после процесса распаковки, а также перезаписывать существующие файлы в папке назначения, если файлы с таким именем уже существуют.

    [​IMG]

    «Поскольку этот SFX-архив можно запустить с экрана входа в систему, у злоумышленника фактически был постоянный бэкдор, к которому можно получить доступ для запуска PowerShell, командной строки Windows и “Диспетчера задач” с привилегиями NT AUTHORITY\SYSTEM, если был предоставлен правильный пароль, — объясняют эксперты. — Такой тип атаки, скорее всего, останется незамеченным традиционным антивирусным ПО, которое ищет вредоносное ПО внутри самого архива».​

    Исследователи напоминают, что пользователям стоит уделять особое внимание самораспаковывающимся архивам и использовать соответствующее ПО для проверки их содержимого и поиска потенциальных скриптов и команд, запланированных для запуска при извлечении.

     
    _________________________
    alexzir, user100 and CyberTro1n like this.
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,426
    Reputations:
    377
    Тут больше функция IFEO debugger помогает, а sfx как вспомогательныей инструмент, для маскировки от детекта ;)
    Так вижу.
     
    _________________________
    Suicide likes this.
Loading...