CrowdStrike的新发现显示,未知威胁参与者使用恶意自解压缩存档(SFX)文件,试图建立对受害者环境的持久后门访问。
SFX文件能够提取其中包含的数据,而不需要专用软件来显示文件内容。它通过包含一个解压缩存根来实现这一点,这是一段用来解压缩存档的代码。
CrowdStrike研究员jai minton说:“然而,sfx存档文件也可能包含隐藏的恶意功能,这些功能可能不会立即被文件的接收者看到,并且可能仅被基于技术的检测漏掉。”
在网络安全公司调查的情况下,系统的受损害凭据被用来运行一个名为UtilityManager(utilman.exe)的合法Windows辅助应用程序,然后启动一个受密码保护的SFX文件。
反过来,这是通过将Windows注册表中的调试器(另一个可执行文件)配置为特定程序(在本例中为utilman.exe),以便每次程序启动时自动启动调试器而实现的。
滥用utilman.exe也是值得注意的,因为它可以通过使用UnitingWindows徽标键+U键盘快捷方式直接从Windows登录屏幕启动。这可能使威胁参与者能够通过图像文件执行选项注册表键配置后门。
明顿解释说:“更仔细地检查SFX档案,发现它通过滥用WinRAR设置选项,而不是包含任何恶意软件,起到了密码保护后门的作用。”
具体来说,通过向存档提供正确的密码,该文件被设计为运行具有NT权限\System权限的PowerShell(powershell.exe)、命令提示符(cmd.exe)和任务管理器(taskmgr.exe)。
“这种类型的攻击很可能不会被传统的杀毒软件发现,这些软件在档案内部寻找恶意软件(通常也是密码保护的),而不是SFX档案解压缩存根的行为,”Minton补充道。
这不是第一次SFX文件已被雇用在攻击作为一种手段,攻击者保持不被发现。2022年9月,卡巴斯基披露了一个恶意软件活动,该活动利用这些受密码保护的文件的链接来传播红线窃贼。
一个月后,臭名昭著的Emotet僵尸网络被观察到发出一个SFX存档,一旦用户打开,将自动提取第二个受密码保护的SFX存档,输入密码,并执行其内容,而无需使用批处理脚本进行进一步的用户交互。
为了减轻此攻击向量造成的威胁,建议通过解压缩软件分析SFX存档,以识别设置为在执行时提取和运行的任何潜在脚本或二进制文件。