Bilgisayar korsanları, zararsız tuzak dosyaları içeren Winrar kendi kendini ekleyen arşivlere kötü niyetli işlevler ekliyor ve hedef sistemdeki güvenlik aracısını tetiklemeden arka planlar dikmelerine izin veriyor.
Winrar veya 7-ZIP gibi sıkıştırma yazılımı ile oluşturulan kendi kendine ekleyen arşivler (SFX), esasen arşivlenmiş verileri, yerleşik bir dekompresyon saplaması (verilerin açılması için kod) ile birlikte yürütülebilirlerdir. SFX dosyaları yetkisiz erişimi önlemek için şifre korumalı olabilir.
SFX dosyalarının amacı, arşivlenmiş verilerin paketi çıkarmak için bir yardımcı programı olmayan kullanıcılara dağıtılmasını basitleştirmektir.
Siber güvenlik şirketi Crowdstrike'taki araştırmacılar, yakın zamanda yapılan bir olay müdahale soruşturması sırasında SFX istismarını gördüler.
Crowdstrike'in analizi, 'utilman.exe'yi kötüye kullanmak için çalıntı kimlik bilgilerini kullanan ve daha önce sistem üzerine dikilen bir şifre korumalı SFX dosyası başlatacak bir düşman keşfetti.
Utilman, kullanıcı girişinden önce yürütülebilen, genellikle bilgisayar korsanları tarafından sistem kimlik doğrulamasını atlamak için istismar edilen bir erişilebilirlik uygulamasıdır.
Utilman.exe tarafından tetiklenen SFX dosyası şifre korumalıdır ve tuzak görevi gören boş bir metin dosyası içerir.
SFX dosyasının asıl işlevi, Winrar’ın PowerShell, Windows Komut İstemi (CMD.EXE) ve Sistem ayrıcalıklarıyla görev yöneticisini çalıştırmak için kurulum seçeneklerini kötüye kullanmaktır.
Kullanılan tekniğe daha yakından bakarak, CrowdStrike'tan Jai Minton, saldırganın, hedefin arşivlenmiş metin dosyasını çıkarmasından sonra çalıştırmak için birden fazla komut eklediğini buldu.
Arşivde kötü amaçlı yazılım olmasa da, tehdit oyuncusu kurulum menüsü altında sistemde bir arka kapı açacak bir SFX arşivi oluşturmak için komutlar ekledi.
Yukarıdaki resimde görüldüğü gibi, yorumlar saldırganın SFX arşivini özelleştirdiğini ve ekstraksiyon işlemi sırasında görüntülenecek hiçbir diyalog ve pencere bulunmadığını gösteriyor. Tehdit oyuncusu ayrıca PowerShell, komut istemi ve görev yöneticisini çalıştırmak için talimatlar ekledi.
Winrar, işlemden önce veya sonra otomatik olarak çalıştırılacak yürütülebilir ürünlerin bir listesini eklemeye izin veren ve aynı ada sahip girişler varsa hedef klasördeki mevcut dosyaların üzerine yazmasına izin veren bir dizi gelişmiş SFX seçeneği sunar.
“Bu SFX arşivi oturum açma ekranından çalıştırılabildiğinden, düşman, doğru şifre sağlandığı sürece PowerShell, Windows Komut İstemi ve NT Authority \ System ayrıcalıklarına sahip görev yöneticisini çalıştırmak için erişilebilen kalıcı bir arka kapıya sahipti. Crowdstrike açıklıyor.
Araştırmacılar, “Bu tür bir saldırı, bir arşivin içinde kötü amaçlı yazılım arayan (genellikle şifre korumalı) bir SFX arşivi dekompressörü saplamasından ziyade, geleneksel antivirüs yazılımı tarafından tespit edilmeyecek” diye ekliyor.
Crowdstrike, kötü niyetli SFX dosyalarının geleneksel AV çözümleri tarafından yakalanması olası olmadığını iddia ediyor. Testlerimizde, Windows Defender, ekstraksiyondan sonra PowerShell'i çalıştırmak için özelleştirilmiş bir SFX arşivi oluşturduğumuzda tepki verdi.
Microsoft'un güvenlik aracısı, ortaya çıkan yürütülebilir dosyayı Wacatac olarak izlenen kötü amaçlı bir komut dosyası olarak tespit etti ve karantinaya aldı. Ancak, bu reaksiyonu sadece bir kez kaydettik ve çoğaltamadık.
Araştırmacılar, kullanıcılara SFX arşivlerine özellikle dikkat etmelerini ve arşivin içeriğini kontrol etmek için uygun yazılımı kullanmalarını ve ekstraksiyon üzerine çalışması planlanan potansiyel komut dosyalarını veya komutları aramalarını önerir.
Kripto para birimi şirketleri 3CX tedarik zinciri saldırısında geri yüklendi
Bilgisayar korsanları verileri çalmak için yeni powerMagic ve CommonMagic kötü amaçlı yazılım kullanıyor
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
Çinli hackerlar, tespitten kaçınmak için yeni özel arka kapı kullanıyor
Ukrayna, Rus hackerların 2021'de Govt web sitelerini geri yüklediğini söylüyor
Kaynak: Bleeping Computer