查看: 12717|回复: 0

WinRAR曝新威胁,黑客可直接运行PowerShell

[复制链接]
匿名
匿名  发表于 2023-4-4 15:03:53 |阅读模式
Bleeping Computer 网站披露,某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能,这些档案包含无害的诱饵文件,使其能够在不触发目标系统上安全代理的情况下设置后门。
用 WinRAR 或 7-Zip 等压缩软件创建的自解压档案(SFX)本质上是包含归档数据的可执行文件,以及一个内置解压存根(解压数据的代码),对这些文件的访问可以有密码保护,以防止未经授权的访问。(SFX 文件目的是为了简化向没有提取软件包的用户分发存档数据的过程。)
1680589304_642bc1f87efed0369bb46.png

Crowdstrike 发现了一个网络犯罪分子使用窃取来的凭据滥用“utilman.exe”,将其设置为启动一个受密码保护的 SFX 文件,并且该文件之前已植入系统。 (Utilman 是一种可访问性应用程序,可以在用户登录之前执行,经常被黑客滥用以绕过系统身份验证。)
1680589330_642bc2128ec68d1e67b6f.jpg
utilman.exe 触发的 SFX 文件不仅受密码保护,而且包含一个用作诱饵的空文本文件。SFX  文件的真正功能是滥用 WinRAR 的设置选项,以系统权限运行 PowerShell、Windows 命令提示符(cmd.exe)和任务管理器。

CrowdStrike 的研究人员仔细研究了其中的技术细节,发现攻击者在目标提取存档的文本文件后添加了多个命令来运行。虽然档案中没有恶意软件,但威胁攻击者在设置菜单下添加了创建 SFX 档案的命令,该档案可能成为“打开”目标系统的后门。
1680589343_642bc21f1ecd10de95fc2.jpg
如上图所示,注释显示在攻击者自定义 SFX 存档后,在提取过程中不会显示任何对话框和窗口。此外,威胁攻击者还添加了运行 PowerShell、命令提示符和任务管理器的指令。WinRAR 提供了一组高级 SFX 选项,允许添加一个可执行文件列表,以便在进程之前或之后自动运行,如果存在同名条目,还可以覆盖目标文件夹中的现有文件。

Crowdstrike 解释说因这个 SFX 档案可以从登录屏幕上运行,所以攻击者实际上有个持久后门,只要提供了正确的密码,就可以访问它来运行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 权限的任务管理器。

研究人员进一步强调,传统的反病毒软件很可能无法检测到这种类型的攻击,毕竟检测软件只在档案(通常也有密码保护)中寻找恶意软件,而不是 SFX 档案解压缩器存根的行为。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-18 15:49 , Processed in 0.021645 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部