黑客利用自解压档案进行隐蔽的后门攻击

CrowdStrike的新发现显示，未知威胁行为者使用恶意自解压存档 (SFX) 文件，试图建立对受害者环境的持久后门访问。

SFX文件能够提取其中包含的数据，而无需专用软件来显示文件内容。它通过包含一个解压缩程序存根来实现这一点，这是一段用于解压缩存档的代码。

“然而，SFX存档文件也可能包含隐藏的恶意功能，文件的接收者可能无法立即看到这些功能，并且仅靠基于技术的检测可能会错过，”CrowdStrike研究员Jai Minton说。

在该网络安全公司调查的案例中，被盗用的系统凭据被用来运行一个名为Utility Manager(utilman.exe)的合法Windows辅助功能应用程序，并随后启动一个受密码保护的SFX文件。

这又可以通过将Windows注册表中的调试器程序（另一个可执行文件）配置为特定程序（在本例中为utilman.exe）来实现，以便每次启动程序时自动启动调试器。

utilman.exe的滥用也值得注意，因为它可以通过使用Windows+U键盘快捷键直接从Windows登录屏幕启动，可能使威胁参与者能够通过图像文件执行选项注册表项配置后门程序。

“对SFX存档的仔细检查表明，它通过滥用WinRAR设置选项而不是包含任何恶意软件来充当受密码保护的后门，”Minton 解释道。

具体来说，该文件被设计为通过向存档提供正确的密码以NT AUTHORITY\SYSTEM权限运行PowerShell(powershell.exe)、命令提示符(cmd.exe)和任务管理器(taskmgr.exe)。

Minton补充说：“这种类型的攻击很可能不会被传统的防病毒软件检测到，传统的防病毒软件正在寻找存档内部的恶意软件（通常也受密码保护），而不是来自 SFX 存档解压缩程序存根的行为。”

这不是SFX文件第一次被用于攻击，作为一种让攻击者不被发现的手段。2022年9月，卡巴斯基披露了一项恶意软件活动，该活动利用指向此类受密码保护文件的链接来传播RedLine Stealer。

一个月后，臭名昭著的Emotet僵尸网络被发现发送了一个SFX存档，一旦用户打开该存档，它就会自动提取第二个受密码保护的SFX存档，输入密码并执行其内容，而无需使用批处理脚本进行进一步的用户交互.

为减轻此攻击媒介造成的威胁，建议通过解档软件分析SFX存档，以识别任何设置为提取并在执行时运行的潜在脚本或二进制文件。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5547.html