首页 科技开发工具 娱乐游玩工具 热门工具   APP 登录/注册 联系/合作
   
 
黑客利用自解压档案进行隐蔽的后门攻击
CrowdStrike 的新发现显示,未知威胁行为者使用恶意自解压存档 ( SFX ) 文件,试图建立对受害者环境的持久后门访问。

SFX 文件能够提取其中包含的数据,而无需专用软件来显示文件内容。它通过包含一个解压缩程序存根来实现这一点,这是一段用于解压缩存档的代码。

“然而,SFX 存档文件也可能包含隐藏的恶意功能,文件的接收者可能无法立即看到这些功能,并且仅靠基于技术的检测可能会错过,”CrowdStrike 研究员 Jai Minton说。

在该网络安全公司调查的案例中,被盗用的系统凭据被用来运行一个名为 Utility Manager (utilman.exe) 的合法 Windows 辅助功能应用程序,并随后启动一个受密码保护的 SFX 文件。

这又可以通过将 Windows 注册表中的调试器(另一个可执行文件)配置为特定程序(在本例中为 utilman.exe)来实现,以便每次启动程序时自动启动调试器。

utilman.exe 的滥用也值得注意,因为它可以通过使用Windows 徽标键 + U 键盘快捷键直接从 Windows 登录屏幕启动,可能使威胁参与者能够通过图像文件执行选项注册表项配置后门程序。

“对 SFX 存档的仔细检查表明,它通过滥用 WinRAR 设置选项而不是包含任何恶意软件来充当受密码保护的后门,”Minton 解释道。

具体来说,该文件被设计为通过向存档提供正确的密码以 NT AUTHORITY\SYSTEM 权限运行 PowerShell (powershell.exe)、命令提示符 (cmd.exe) 和任务管理器 (taskmgr.exe)。

Minton 补充说:“这种类型的攻击很可能不会被传统的防病毒软件检测到,传统的防病毒软件正在寻找存档内部的恶意软件(通常也受密码保护),而不是来自 SFX 存档解压缩程序存根的行为。”

这不是 SFX 文件第一次被用于攻击,作为一种让攻击者不被发现的手段。2022 年 9 月,卡巴斯基披露了一项恶意软件活动,该活动利用指向此类受密码保护文件的链接来传播 RedLine Stealer。

一个月后,臭名昭著的Emotet 僵尸网络被发现发送了一个 SFX 存档,一旦用户打开该存档,它就会自动提取第二个受密码保护的 SFX 存档,输入密码并执行其内容,而无需使用批处理脚本进行进一步的用户交互,为减轻此攻击媒介造成的威胁,建议通过解档软件分析 SFX 存档,以识别任何设置为提取并在执行时运行的潜在脚本或二进制文件。
最新文章:
所有文章资讯、展示的文字、图片、数字、视频、音频、其它素材等内容均来自网络媒体,仅供学习参考。内容的知识产权归属原始著作权人所有。如有侵犯您的版权,请联系我们并提供相应证明,本平台将仔细验证并删除相关内容。
工具综合排行榜
TOP 1
双计算器 双计算器
同时用两个计算器,用于价格对比、数字分别计算等
TOP 2
推算几天后的日期 推算几天后的日期
推算从某天开始,增加或减少几天后的日期
TOP 3
随机密码生成 随机密码生成
随机生成安全复杂的密码,自由设置密码长度及复杂度
TOP 4
推算孩子的血型 推算孩子的血型
根据父母的血型推测子女的血型
TOP 5
日期转中文大写 日期转中文大写
把数字日期转成中文大写,是财务或商务合同常用的工具
热门内容:       双计算器       推算孩子的血型       随机密码生成       日期转中文大写       推算几天后的日期       达轻每日一景       高校分数线       高校查询       周公解梦大全
首页 科技开发工具大全
娱乐游玩工具大全
登录/注册
联系我们
  用户咨询/建议
kf@ss3316.com


商务合作/推广
hz@ss3316.com

达轻工具 APP

访问手机版网站
使用本平台必读并同意:任何内容仅供谨慎参考,不构成建议,不保证正确,平台不承担任何责任,同意用户协议隐私政策   
BaiduTrust安全认证签章
© 达轻科技 版权所有 增值电信业务经营许可证 ICP备 沪B2-20050023-3