Peretas menambahkan fungsionalitas berbahaya ke arsip ekstraksi mandiri WinRAR yang berisi file umpan yang tidak berbahaya, memungkinkan mereka menanam pintu belakang tanpa memicu agen keamanan pada sistem target.
.
Self-extracting archives (SFX) yang dibuat dengan perangkat lunak kompresi seperti WinRAR atau 7-Zip pada dasarnya dapat dieksekusi yang berisi data yang diarsipkan bersama dengan rintisan dekompresi bawaan (kode untuk membongkar data). File SFX dapat dilindungi kata sandi untuk mencegah akses yang tidak sah.
Tujuan dari file SFX adalah untuk menyederhanakan distribusi data yang diarsipkan kepada pengguna yang tidak memiliki utilitas untuk mengekstrak paket.
.
Para peneliti di perusahaan keamanan siber CrowdStrike melihat penyalahgunaan SFX selama penyelidikan respons insiden baru-baru ini.
.
Serangan SFX.
Analisis Crowdstrike menemukan musuh yang menggunakan kredensial curian untuk menyalahgunakan 'utilman.exe' dan mengaturnya untuk meluncurkan file SFX yang dilindungi kata sandi yang telah ditanam di sistem sebelumnya.
.
Utilman adalah aplikasi aksesibilitas yang dapat dijalankan sebelum login pengguna, sering disalahgunakan oleh peretas untuk melewati otentikasi sistem. File SFX yang dipicu oleh utilman.exe dilindungi kata sandi dan berisi file teks kosong yang berfungsi sebagai umpan.
.
Fungsi sebenarnya dari file SFX adalah untuk menyalahgunakan opsi pengaturan WinRAR untuk menjalankan PowerShell, prompt perintah Windows (cmd.exe), dan pengelola tugas dengan hak istimewa sistem. Melihat lebih dekat pada teknik yang digunakan, Jai Minton dari CrowdStrike menemukan bahwa penyerang telah menambahkan beberapa perintah untuk dijalankan setelah target mengekstrak file teks yang diarsipkan. Meskipun tidak ada malware dalam arsip, aktor ancaman menambahkan perintah di bawah menu pengaturan untuk membuat arsip SFX yang akan membuka pintu belakang pada sistem.
.
Seperti yang terlihat pada gambar di atas, komentar menunjukkan bahwa penyerang menyesuaikan arsip SFX sehingga tidak ada dialog dan jendela yang ditampilkan selama proses ekstraksi. Aktor ancaman juga menambahkan instruksi untuk menjalankan PowerShell, command prompt, dan task manager.
WinRAR menawarkan satu set opsi SFX lanjutan yang memungkinkan penambahan daftar executable untuk berjalan secara otomatis sebelum atau sesudah proses, serta menimpa file yang ada di folder tujuan jika entri dengan nama yang sama ada. "Karena arsip SFX ini dapat dijalankan dari layar masuk, musuh secara efektif memiliki backdoor persisten yang dapat diakses untuk menjalankan PowerShell, command prompt Windows dan task manager dengan hak istimewa NT AUTHORITY\SYSTEM, selama kata sandi yang benar diberikan," jelas Crowdstrike. "Jenis serangan ini kemungkinan akan tetap tidak terdeteksi oleh perangkat lunak antivirus tradisional yang mencari malware di dalam arsip (yang seringkali juga dilindungi kata sandi) daripada perilaku dari rintisan dekompresor arsip SFX," tambah para peneliti.
.
.
Crowdstrike mengklaim bahwa file SFX berbahaya tidak mungkin ditangkap oleh solusi AV tradisional. Dalam pengujian kami, Windows Defender bereaksi ketika kami membuat arsip SFX yang disesuaikan untuk menjalankan PowerShell setelah ekstraksi.
.
.
Agen keamanan Microsoft mendeteksi executable yang dihasilkan sebagai skrip berbahaya yang dilacak sebagai Wacatac dan mengkarantinanya. Namun, kami mencatat reaksi ini hanya sekali dan tidak dapat menirunya.
.
.
Para peneliti menyarankan pengguna untuk memberi perhatian khusus pada arsip SFX dan menggunakan perangkat lunak yang sesuai untuk memeriksa konten arsip dan mencari skrip atau perintah potensial yang dijadwalkan untuk dijalankan setelah ekstraksi.
sumber
sumber