CrowdStrike 的新发现显示,未知威胁行为者使用恶意自解压存档 ( SFX ) 文件,试图建立对受害者环境的持久后门访问。
SFX 文件能够提取其中包含的数据,而无需专用软件来显示文件内容。它通过包含一个解压缩程序存根来实现这一点,这是一段用于解压缩存档的代码。
“然而,SFX 存档文件也可能包含隐藏的恶意功能,文件的接收者可能无法立即看到这些功能,并且仅靠基于技术的检测可能会错过,”CrowdStrike 研究员 Jai Minton说。
在该网络安全公司调查的案例中,被盗用的系统凭据被用来运行一个名为 Utility Manager (utilman.exe) 的合法 Windows 辅助功能应用程序,并随后启动一个受密码保护的 SFX 文件。
这又可以通过将 Windows 注册表中的调试器(另一个可执行文件)配置为特定程序(在本例中为 utilman.exe)来实现,以便每次启动程序时自动启动调试器。
utilman.exe 的滥用也值得注意,因为它可以通过使用Windows 徽标键 + U 键盘快捷键直接从 Windows 登录屏幕启动,可能使威胁参与者能够通过图像文件执行选项注册表项配置后门程序。
“对 SFX 存档的仔细检查表明,它通过滥用 WinRAR 设置选项而不是包含任何恶意软件来充当受密码保护的后门,”Minton 解释道。
具体来说,该文件被设计为通过向存档提供正确的密码以 NT AUTHORITY\SYSTEM 权限运行 PowerShell (powershell.exe)、命令提示符 (cmd.exe) 和任务管理器 (taskmgr.exe)。
Minton 补充说:“这种类型的攻击很可能不会被传统的防病毒软件检测到,传统的防病毒软件正在寻找存档内部的恶意软件(通常也受密码保护),而不是来自 SFX 存档解压缩程序存根的行为。”
这不是 SFX 文件第一次被用于攻击,作为一种让攻击者不被发现的手段。2022 年 9 月,卡巴斯基披露了一项恶意软件活动,该活动利用指向此类受密码保护文件的链接来传播 RedLine Stealer。
一个月后,臭名昭著的Emotet 僵尸网络被发现发送了一个 SFX 存档,一旦用户打开该存档,它就会自动提取第二个受密码保护的 SFX 存档,输入密码并执行其内容,而无需使用批处理脚本进行进一步的用户交互,为减轻此攻击媒介造成的威胁,建议通过解档软件分析 SFX 存档,以识别任何设置为提取并在执行时运行的潜在脚本或二进制文件。
