Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры внедряют бэкдоры и обманывают антивирусы используя WinRaR

04/04/23

backdoor3-Apr-04-2023-12-00-22-2706-PM

Специалисты компании Crowdstrike сообщают, что злоумышленники внедряют бэкдоры в самораспаковывающиеся архивы WinRAR, избегая обнаружения средств безопасности.

Самораспаковывающиеся архивы (SFX), созданные с помощью WinRAR или 7-Zip, по сути, представляют собой исполняемые файлы, которые содержат архивированные данные и встроенную заглушку для распаковки (код для распаковки).

SFX-файлы также могут быть защищены паролем для предотвращения несанкционированного доступа. Цель SFX-файлов — упростить распространение архивных данных среди пользователей, у которых нет утилиты для извлечения пакета.

Вредоносная функция SFX-файла заключается в злоупотреблении параметрами установки WinRAR для запуска PowerShell, командной строки Windows (cmd.exe) и диспетчера задач с системными привилегиями.

Эксперты Crowdstrike обнаружили злоумышленника, который использовал украденные учетные данные, чтобы настроить файл «utilman.exe» для запуска запароленного SFX-архива, который ранее был внедрен в систему.

Utilman — это приложение специальных возможностей, которое можно запустить до входа пользователя в систему. Хакеры часто используют его для обхода системной аутентификации.

SFX-файл, который запускается с помощью «utilman.exe», содержит пустой текстовый файл-приманку. Также файл содержит заранее добавленные команды для создания SFX-архива, которые выполняются после того, как жертва распаковала архив.

Злоумышленник настроил SFX-архив таким образом, чтобы в процессе извлечения диалоговое окно не отображалось. Хакер также добавил команды запуска PowerShell, командной строки (cmd.exe) и диспетчера задач (taskmgr.exe).

WinRAR предлагает набор расширенных параметров SFX, которые позволяют автоматически запускать исполняемые файлы, а также перезаписывать существующие файлы в папке назначения.

Эксперты Crowdstrike объясняют, что, поскольку SFX-архив можно запустить с экрана входа в систему, у злоумышленника фактически есть постоянный бэкдор, к которому можно получить доступ для запуска PowerShell, командной строки Windows и диспетчера задач с привилегиями «NT AUTHORITY\SYSTEM», при условии, что был введён правильный пароль для входа в систему.

hkmv80a46xukr22d3xbhkl2jt93k44yg

Этот тип атаки, скорее всего, останется незамеченным традиционным антивирусным ПО, которое ищет вредоносную программу внутри архива, а по поведению заглушки декомпрессора SFX-архива. Стоит отметить, что в проведённых тестах Защитник Windows среагировал при создании SFX-архива, настроенного на запуск PowerShell после извлечения. Агент безопасности Защитника Windows пометил исполняемый файл как вредоносный скрипт под названием Wacatac, и поместил его в карантин.

Исследователи советуют пользователям уделять особое внимание SFX-архивам и использовать соответствующее ПО для проверки содержимого архива и поиска потенциальных сценариев или команд, запланированных для запуска при извлечении.

Темы:УгрозыбэкдорыCrowdstrikeантивирусыSFX
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...