自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

WinRAR曝新威脅,黑客可直接運(yùn)行PowerShell

作者:james_23
安全
某些網(wǎng)絡(luò)犯罪分子正試圖在 WinRAR 自解壓檔案中添加惡意功能,這些檔案包含無(wú)害的誘餌文件,使其能夠在不觸發(fā)目標(biāo)系統(tǒng)上安全代理的情況下設(shè)置后門。

Bleeping Computer 網(wǎng)站披露,某些網(wǎng)絡(luò)犯罪分子正試圖在 WinRAR 自解壓檔案中添加惡意功能,這些檔案包含無(wú)害的誘餌文件,使其能夠在不觸發(fā)目標(biāo)系統(tǒng)上安全代理的情況下設(shè)置后門。

用 WinRAR 或 7-Zip 等壓縮軟件創(chuàng)建的自解壓檔案(SFX)本質(zhì)上是包含歸檔數(shù)據(jù)的可執(zhí)行文件,以及一個(gè)內(nèi)置解壓存根(解壓數(shù)據(jù)的代碼),對(duì)這些文件的訪問(wèn)可以有密碼保護(hù),以防止未經(jīng)授權(quán)的訪問(wèn)。(SFX 文件目的是為了簡(jiǎn)化向沒(méi)有提取軟件包的用戶分發(fā)存檔數(shù)據(jù)的過(guò)程。)

1680589304_642bc1f87efed0369bb46.png!small

使用7-Zip創(chuàng)建受密碼保護(hù)的SFX (來(lái)源:CrowdStrike)

然而,網(wǎng)絡(luò)安全公司 CrowdStrike 的研究人員在最近的一次事件響應(yīng)調(diào)查中發(fā)現(xiàn)了 SFX 濫用。

野外發(fā)現(xiàn) SFX 攻擊

Crowdstrike 發(fā)現(xiàn)了一個(gè)網(wǎng)絡(luò)犯罪分子使用竊取來(lái)的憑據(jù)濫用“utilman.exe”,將其設(shè)置為啟動(dòng)一個(gè)受密碼保護(hù)的 SFX 文件,并且該文件之前已植入系統(tǒng)。 (Utilman 是一種可訪問(wèn)性應(yīng)用程序,可以在用戶登錄之前執(zhí)行,經(jīng)常被黑客濫用以繞過(guò)系統(tǒng)身份驗(yàn)證。)

1680589330_642bc2128ec68d1e67b6f.png!small?1680589332524

登錄屏幕上的 utilman 工具 (來(lái)源:CrowdStrike)

utilman.exe 觸發(fā)的 SFX 文件不僅受密碼保護(hù),而且包含一個(gè)用作誘餌的空文本文件。SFX  文件的真正功能是濫用 WinRAR 的設(shè)置選項(xiàng),以系統(tǒng)權(quán)限運(yùn)行 PowerShell、Windows 命令提示符(cmd.exe)和任務(wù)管理器。

CrowdStrike 的研究人員仔細(xì)研究了其中的技術(shù)細(xì)節(jié),發(fā)現(xiàn)攻擊者在目標(biāo)提取存檔的文本文件后添加了多個(gè)命令來(lái)運(yùn)行。雖然檔案中沒(méi)有惡意軟件,但威脅攻擊者在設(shè)置菜單下添加了創(chuàng)建 SFX 檔案的命令,該檔案可能成為“打開”目標(biāo)系統(tǒng)的后門。

1680589343_642bc21f1ecd10de95fc2.png!small?1680589343757

WinRAR SFX 設(shè)置中允許后門訪問(wèn)的命令 (來(lái)源:CrowdStrike)

如上圖所示,注釋顯示在攻擊者自定義 SFX 存檔后,在提取過(guò)程中不會(huì)顯示任何對(duì)話框和窗口。此外,威脅攻擊者還添加了運(yùn)行 PowerShell、命令提示符和任務(wù)管理器的指令。WinRAR 提供了一組高級(jí) SFX 選項(xiàng),允許添加一個(gè)可執(zhí)行文件列表,以便在進(jìn)程之前或之后自動(dòng)運(yùn)行,如果存在同名條目,還可以覆蓋目標(biāo)文件夾中的現(xiàn)有文件。

Crowdstrike 解釋說(shuō)因這個(gè) SFX 檔案可以從登錄屏幕上運(yùn)行,所以攻擊者實(shí)際上有個(gè)持久后門,只要提供了正確的密碼,就可以訪問(wèn)它來(lái)運(yùn)行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 權(quán)限的任務(wù)管理器。

研究人員進(jìn)一步強(qiáng)調(diào),傳統(tǒng)的反病毒軟件很可能無(wú)法檢測(cè)到這種類型的攻擊,畢竟檢測(cè)軟件只在檔案(通常也有密碼保護(hù))中尋找惡意軟件,而不是 SFX 檔案解壓縮器存根的行為。

1680589361_642bc2310f566469aa498.png!small?1680589361721

觀察到的攻擊鏈 (來(lái)源:CrowdStrike)

Crowdstrike 聲稱,惡意的 SFX 文件不太可能被傳統(tǒng)惡意軟件解決方案捕獲。在測(cè)試過(guò)程中,安全人員創(chuàng)建了一個(gè)自定義的 SFX 存檔以提取后運(yùn)行 PowerShell 時(shí),Windows Defender 做出了反應(yīng),然而,僅僅只記錄了一次這種反應(yīng),無(wú)法復(fù)制。

最后,研究人員建議用戶應(yīng)特別注意 SFX 檔案,并使用適當(dāng)?shù)能浖z查檔案的內(nèi)容。

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf.COM
黑客網(wǎng)絡(luò)犯罪
相關(guān)推薦

2022-05-24 14:17:36

黑客漏洞網(wǎng)絡(luò)攻擊

2020-11-11 16:46:35

蘋果macOS操作系統(tǒng)

2024-05-29 10:43:31

2022-02-13 20:31:26

SpringBootjarmanifests

2021-04-22 07:38:12

Windows10操作系統(tǒng)微軟

2020-05-07 16:30:32

Spring BootJava

2024-11-26 08:36:56

SpringJar機(jī)制

2009-06-08 08:49:28

2009-06-29 18:35:41

操作系統(tǒng)服務(wù)器軟件

2013-07-05 09:15:28

Android

2011-11-11 11:01:23

Windows 8系統(tǒng)

2024-04-03 09:01:34

SpringTomcat容器

2019-03-06 13:45:20

Windows 10Xbox微軟

2023-11-30 08:16:19

SpringjarTomcat

2014-12-17 09:16:33

漏洞北京地鐵系統(tǒng)

2023-12-26 16:29:15

2020-08-27 11:35:36

Python 開發(fā)編程語(yǔ)言

2024-07-11 16:05:12

2013-08-06 18:01:30

2020-10-22 14:20:39

Parallels
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)