Новости Хакеры внедряют бэкдоры и обманывают антивирусы используя WinRaR

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Как злоумышленники внедряют скрытый бэкдор в SFX-архивы.


lxbdi9rzfnyq0yg09138wiax5sn7jdib.jpg


Специалисты компании Crowdstrike Для просмотра ссылки Войди или Зарегистрируйся , что злоумышленники внедряют бэкдоры в самораспаковывающиеся архивы WinRAR, избегая обнаружения средств безопасности.

Самораспаковывающиеся архивы (SFX), созданные с помощью WinRAR или 7-Zip, по сути, представляют собой исполняемые файлы, которые содержат архивированные данные и встроенную заглушку для распаковки (код для распаковки).

SFX-файлы также могут быть защищены паролем для предотвращения несанкционированного доступа. Цель SFX-файлов — упростить распространение архивных данных среди пользователей, у которых нет утилиты для извлечения пакета.

Вредоносная функция SFX-файла заключается в злоупотреблении параметрами установки WinRAR для запуска PowerShell , командной строки Windows (cmd.exe) и диспетчера задач с системными привилегиями.


yo2joqrziecwcdb5yruzl6m2ptxi95vk.png


Защищенный паролем SFX-архив

Эксперты Crowdstrike обнаружили злоумышленника, который использовал украденные учетные данные, чтобы настроить файл «utilman.exe» для запуска запароленного SFX-архива, который ранее был внедрен в систему.

Utilman — это приложение специальных возможностей, которое можно запустить до входа пользователя в систему. Хакеры часто используют его для обхода системной аутентификации.


fu6dk6w8715gpxvptrstdc73afsy9sda.png


Утилита Utilman на экране входа в систему

SFX-файл, который запускается с помощью «utilman.exe», содержит пустой текстовый файл-приманку. Также файл содержит заранее добавленные команды для создания SFX-архива, которые выполняются после того, как жертва распаковала архив.


7hm9ljdzdqleoatkflo9s1ztoj5mmi7h.png


Команды, добавленные в настройки архива

Злоумышленник настроил SFX-архив таким образом, чтобы в процессе извлечения диалоговое окно не отображалось. Хакер также добавил команды запуска PowerShell, командной строки (cmd.exe) и диспетчера задач (taskmgr.exe).

WinRAR предлагает набор расширенных параметров SFX, которые позволяют автоматически запускать исполняемые файлы, а также перезаписывать существующие файлы в папке назначения.

Эксперты Crowdstrike объясняют, что, поскольку SFX-архив можно запустить с экрана входа в систему, у злоумышленника фактически есть постоянный бэкдор , к которому можно получить доступ для запуска PowerShell, командной строки Windows и диспетчера задач с привилегиями «NT AUTHORITY\SYSTEM», при условии, что был введён правильный пароль для входа в систему.


hkmv80a46xukr22d3xbhkl2jt93k44yg.png


Цепочка атаки

Этот тип атаки, скорее всего, останется незамеченным традиционным антивирусным ПО, которое ищет вредоносную программу внутри архива, а по поведению заглушки декомпрессора SFX-архива. Стоит отметить, что в проведённых тестах Защитник Windows среагировал при создании SFX-архива, настроенного на запуск PowerShell после извлечения. Агент безопасности Защитника Windows пометил исполняемый файл как вредоносный скрипт под названием Wacatac, и поместил его в карантин.

Исследователи советуют пользователям уделять особое внимание SFX-архивам и использовать соответствующее ПО для проверки содержимого архива и поиска потенциальных сценариев или команд, запланированных для запуска при извлечении.
 
Источник новости
www.securitylab.ru

Похожие темы