您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

WinRAR SFX自解包文件可以运行PowerShell而不会被检测到

时间:2023-04-04 13:25:34  来源:今日头条  作者:会杀毒的单反狗

黑客正在向包含无害诱饵文件的 WinRAR 自解压文件中添加恶意功能,从而允许他们在不触发目标系统上的安全代理的情况下植入后门。

使用 WinRAR 或 7-Zip 等压缩软件创建的自解压存档 (SFX) 本质上是包含存档数据以及内置解压缩(用于解压数据的代码)的可执行文件。可以使用密码保护对这些文件的访问,以防止未经授权的访问。

使用 7-Zip 来源创建的受密码保护的 SFX 文件

网络安全公司 CrowdStrike 的研究人员在最近的事件响应调查中发现了 SFX 自解包文件的滥用行为。

野外的SFX攻击

Crowdstrike 的分析发现,一个对手使用窃取的凭据滥用“utilman.exe”,并将其设置为启动一个先前植入系统中的受密码保护的 SFX 文件。

Utilman 是一个辅助功能应用程序,可以在用户登录之前执行,经常被黑客滥用以绕过系统身份验证。

登录屏幕上的 utilman 工具

由 utilman.exe 触发的 SFX 文件受密码保护,并包含一个用作诱饵的空文本文件。

SFX 文件的真正功能是滥用 WinRAR 的设置选项来运行 PowerShell、windows 命令提示符 (cmd.exe) 和具有系统权限的任务管理器。

CrowdStrike 的 Jai Minton 仔细研究了所使用的技术,发现攻击者在目标提取存档文本文件后添加了多个要运行的命令。

虽然存档中没有恶意软件,但攻击者在设置菜单下添加了命令,用于创建 SFX 自解包存档文件,这将在系统打开一个后门。

WinRAR SFX 设置中允许后门访问

如上图所示,攻击者自定义了 SFX 存档,因此在提取过程中不显示对话框和窗口。攻击者还添加了运行 PowerShell、命令提示符和任务管理器的指令。

WinRAR 提供一组高级 SFX 选项,允许添加可执行文件列表以在进程之前或之后自动运行,以及如果存在具有相同名称的条目,则覆盖目标文件夹中的现有文件。

“因为这个 SFX 存档可以从登录屏幕运行,所以对手实际上有一个持久的后门,只要提供正确的密码,就可以访问它来运行 PowerShell、Windows 命令提示符和具有 NT AUTHORITYSYSTEM 权限的任务管理器。” Crowdstrike 解释道。

研究人员补充说:“这种类型的攻击很可能仍未被传统防病毒软件检测到,传统防病毒软件正在寻找存档内部的恶意软件(通常也受密码保护),而不是来自 SFX 自解包文件的行为。”

观察到的攻击链

Crowdstrike 声称恶意 SFX 文件不太可能被传统的 AV 解决方案捕获。在我们(bleepingcomputer.com)的测试中,Windows Defender 在我们创建自定义自解压存档以在提取后运行 PowerShell 时做出反应。

Microsoft 的安全代理将生成的可执行文件检测为跟踪为 Wacatac 的恶意脚本并将其隔离。然而,我们只记录了一次这种反应,无法复现。

研究人员建议用户特别注意 SFX 自解包档案文件,使用适当的软件来检查自解包存档文件的内容并寻找潜在的脚本或计划在提取压缩文件时运行的命令。

参考链接:
https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/



Tags:WinRAR SFX   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
黑客正在向包含无害诱饵文件的 WinRAR 自解压文件中添加恶意功能,从而允许他们在不触发目标系统上的安全代理的情况下植入后门。使用 WinRAR 或 7-Zip 等压缩软件创建的自解...【详细内容】
2023-04-04  Tags: WinRAR SFX  点击:(0)  评论:(0)  加入收藏
▌简易百科推荐
黑客正在向包含无害诱饵文件的 WinRAR 自解压文件中添加恶意功能,从而允许他们在不触发目标系统上的安全代理的情况下植入后门。使用 WinRAR 或 7-Zip 等压缩软件创建的自解...【详细内容】
2023-04-04  会杀毒的单反狗  今日头条  Tags:WinRAR SFX   点击:(0)  评论:(0)  加入收藏
防火墙是根据工作范围及其特征来分类的,分为过滤型防火墙、应用代理类型防火墙及复合型防火墙。通过防火墙在内部与外部网络中间过程的防御作用,可以实现内部与外部资源的有效...【详细内容】
2023-03-20  氪纪未来    Tags:防火墙   点击:(10)  评论:(0)  加入收藏
入方向链路负载均衡功能可在多条链路上分担外网用户访问内网服务器的流量。可以使外部互联网用户访问内网服务器的流量较为均匀地分配到多条链路上,从而提高流量转发效率,提升...【详细内容】
2023-03-20  时光偷走初心嗨  搜狐号  Tags:防火墙   点击:(18)  评论:(0)  加入收藏
前言:对于firewalld的理解Centos7中使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。 Centos7中有两个位置存放了firewall的...【详细内容】
2023-03-02  沪北柒哥  今日头条  Tags:防火墙   点击:(27)  评论:(0)  加入收藏
由于互联网的发展和网络经济的兴起,越来越多的企业把服务或交易平台放到了互联网上,但是这些暴露在网络上的资源往往防御能力较弱,这也给了网络黑客总有可乘之机,因此,渗透测试被...【详细内容】
2023-02-24  天磊卫士官方    Tags:渗透测试   点击:(40)  评论:(0)  加入收藏
如今,基于Web环境的互联网应用越来越广泛,企业信息化过程中各种应用都架设在Web平台上,Web应用系统已深入客户所在的各个行业,成为重要的IT资产,而传统网络层的防护已经无法保障...【详细内容】
2023-02-22  天磊卫士官方    Tags:   点击:(19)  评论:(0)  加入收藏
前言Cloudflare是一个全球性的内容分发网络(CDN)服务提供商,用于加速网络,并改善网络性能和安全服务。Cloudflare使用一组分散的节点为网络提供快速,安全的网络服务。它的服务延...【详细内容】
2023-02-20  阿宝哥呀  SKY博客  Tags:cloudflare   点击:(65)  评论:(0)  加入收藏
每天,Sophos防火墙都会生成大量的syslog数据,很难独自监控它们。借助EventLog Analyzer,您可以存档系统日志以满足合规性要求,并进行彻底的取证调查,以在发生任何问题(例如网络入...【详细内容】
2023-02-16  运维有小邓  搜狐号  Tags:防火墙   点击:(44)  评论:(0)  加入收藏
IT之家 2 月 9 日消息,意大利国家网络安全局(ACN)于上周日发布警告,已经有黑客利用 VMware ESXi 服务器漏洞,对全球数千台服务器发起勒索软件攻击,并警告组织采取行动保护其系统。...【详细内容】
2023-02-09    IT之家   Tags:CISA   点击:(39)  评论:(0)  加入收藏
使用杀毒软件需要正确的姿势么?对于老鸟来说确实不需要,但对于很多普通的电脑用户来说,杀毒软件就是个杀毒的,不需要特别的设置,想杀毒手动查杀一下就行了,并不太关心其他功能和使...【详细内容】
2023-02-06  每天一点IT  今日头条  Tags:火绒   点击:(60)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条