Bilinmeyen bir tehdit aktörü, kendi kendine ayıklanan kötü amaçlı bir arşiv kullandı (ses efektleriCrowdStrike’tan elde edilen yeni bulgulara göre, bir kurbanın ortamına kalıcı arka kapı erişimi sağlama girişiminde bulunan dosya.
SFX dosyaları, dosya içeriğini görüntülemek için özel bir yazılıma ihtiyaç duymadan içlerinde bulunan verileri çıkarabilir. Bunu, arşivi açmak için yürütülen bir kod parçası olan bir sıkıştırıcı saplama ekleyerek başarır.
CrowdStrike araştırmacısı Jai Minton, “Ancak, SFX arşiv dosyaları, dosyanın alıcısı tarafından hemen görülemeyebilecek ve yalnızca teknoloji tabanlı tespitlerle gözden kaçabilecek gizli kötü amaçlı işlevler de içerebilir.” söz konusu.
Siber güvenlik firması tarafından araştırılan vakada, bir sistemin güvenliği ihlal edilmiş kimlik bilgileri, Utility Manager (utilman.exe) adlı yasal bir Windows erişilebilirlik uygulamasını çalıştırmak ve ardından parola korumalı bir SFX dosyasını başlatmak için kullanıldı.
Bu da sırasıyla şu şekilde sağlanır: bir hata ayıklayıcı programı yapılandırma (başka bir yürütülebilir dosya) Windows Kayıt Defterindeki belirli bir programa (bu durumda utilman.exe) kopyalayın, böylece program her başlatıldığında hata ayıklayıcı otomatik olarak başlatılır.
Utilman.exe’nin kötüye kullanılması da dikkat çekicidir. doğrudan başlatıldı kullanarak Windows oturum açma ekranından Windows logo tuşu + U klavye kısayolupotansiyel olarak tehdit aktörlerinin Görüntü Dosyası Yürütme Seçenekleri Kayıt Defteri anahtarı aracılığıyla arka kapıları yapılandırmasına olanak tanır.
Minton, “SFX arşivinin daha yakından incelenmesi, herhangi bir kötü amaçlı yazılım içermek yerine WinRAR kurulum seçeneklerini kötüye kullanarak parola korumalı bir arka kapı işlevi gördüğünü ortaya çıkardı.”
Dosya özellikle, arşive doğru parolayı sağlayarak NT AUTHORITYSYSTEM ayrıcalıklarıyla PowerShell (powershell.exe), Komut İstemi (cmd.exe) ve Görev Yöneticisi’ni (taskmgr.exe) çalıştırmak üzere tasarlanmıştır.
Minton, “Bu tür bir saldırı, bir SFX arşivi sıkıştırıcı saplama saplamasından ziyade, bir arşivin içinde (genellikle parola korumalıdır) kötü amaçlı yazılım arayan geleneksel antivirüs yazılımları tarafından tespit edilmeyebilir.”
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Bu, saldırganların tespit edilmemesi için bir araç olarak saldırılarda SFX dosyalarının kullanıldığı ilk sefer değil. Eylül 2022’de Kaspersky, bu tür parola korumalı dosyalara bağlantılar kullanan bir kötü amaçlı yazılım kampanyasını ifşa etti. yaymak Kırmızı Hat Hırsızı.
Bir ay sonra, kötü şöhretli Emotet botnet’in, bir kullanıcı tarafından açıldığında otomatik olarak ikinci bir parola korumalı SFX arşivini çıkaran, parolayı giren ve bir toplu komut dosyası kullanarak daha fazla kullanıcı etkileşimi olmadan içeriğini yürüten bir SFX arşivi gönderdiği gözlemlendi. .
Bu saldırı vektörünün oluşturduğu tehditleri azaltmak için, yürütüldükten sonra ayıklanacak ve çalıştırılacak olası komut dosyalarını veya ikili dosyaları belirlemek için SFX arşivlerinin arşivden çıkarma yazılımı aracılığıyla analiz edilmesi önerilir.