威胁行为者 通过添加恶意功能在目标系统中安装后门而不被发现,从而利用包含诱饵文件的 WinRAR 自解压 (SFX)存档。
SFX 档案包含一个解压器存根,允许用户解压和查看内容而无需额外的软件。WinRAR 和 7-Zip 等压缩软件使用 SFX 技术,可以更轻松地分发软件和文件。
对于 SFX,WinRAR 提供高级选项,例如在安装前后执行命令的能力,以及 覆盖 目标目录中任何现有文件或目录的能力。
|
建了一个属于网络安全从业人士交流群,加微信进群  |
攻击不需要目标用户拥有 WinRAR 或任何其他压缩软件,因为 SFX 文件也旨在向这些用户授予对内容的访问权限。
SFX 档案长期以来一直用于合法目的。 安全检测可能会错过这些档案中隐藏的恶意功能。研究人员发现,一个看似空的 SFX 存档文件也可能存在风险,因为 当它与特定的注册表项结合使用时,它可能会为黑客提供一个持久的受害者环境后门。
受密码保护的 SFX 档案被攻击者用作后门
企业通常使用 受密码保护的 SFX 档案。这些档案使用商业产品加密,只有使用正确的密码才能访问。输入密码后,该文件将成为具有可执行扩展名的 SFX 存档。
最近,威胁猎手发现攻击者使用受损凭据获取系统访问权限,并试图通过 在 Windows 注册表中设置图像文件执行选项调试器来建立持久性。
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsutilman[.]exe" /v "debugger" /d "[REDACTED PathToSFXArchive]" /f攻击者使用命令行在 Windows 注册表中配置调试器,以便无论何时 运行utilman[.]exe (辅助功能应用程序),它都会将其作为参数传递给指定的调试器可执行文件。
攻击者经常滥用 utilman[.]exe 来运行他们选择的二进制文件而不进行身份验证,从而绕过安全措施。通过此方法运行的二进制文件具有提升的权限,因为它们是在本地系统帐户 (NT AUTHORITYSYSTEM)下执行的。这允许以比标准管理员帐户更高的权限执行命令。
虽然这种滥用 utilman[.]exe 的技术并不新鲜,但在这种情况下不同寻常的是,所指向的二进制文件是一个受密码保护的 SFX 存档,如果没有正确的密码就无法取消存档。
WinRAR SFX 存档文件包含一项功能,允许包含扩展的 SFX 命令,这些命令将在文件解压缩后运行。这些命令中有一个设置选项来指定可执行文件。
攻击者通常利用该功能来 执行 SFX 存档中包含的恶意软件。虽然这次攻击不包括恶意软件,但威胁行为者在 WinRAR 设置菜单下添加了命令,使存档功能成为受密码保护的后门。
这些命令确保解压缩程序存根在解压缩时可以覆盖现有文件,隐藏对话框(通过静默命令),并 在过程完成后执行PowerShell 、命令提示符和任务管理器。
传统的防病毒软件可能无法检测到此类攻击,因为它不涉及要检测的任何 恶意软件 行为 。
建议
为了防止此类攻击,一些建议如下:
-
使用解档软件或其他工具来检查 SFX 档案中是否存在设置为提取并在执行时运行的潜在脚本或可执行文件。
-
检查 SFX 存档解压缩程序存根本身,以识别将在成功解压缩期间、之前或之后运行的任何命令,而不仅仅是检查存档的内容。
-
仔细检查任何仅包含空字节文件的 SFX 存档以获取附加功能。
-
检查注册表是否将 SFX 文件设置为调试器。查找以下 IOC: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
通过资产检测恶意活动的方法之一是使用危害指标。在 SOCRadar 的威胁源和 IOC 管理选项卡上,您可以找到 IOC 并监控威胁参与者、恶意软件和各种其他恶意活动。
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):WinRAR SFX 压缩文件可以运行PowerShell 而不会被检测到
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论