SFX-архивы могут скрыто запускать PowerShell - «Новости» » Интернет технологии
sitename
Межзвёздная комета «Оумуамуа» может оказаться фрагментом «экзо-Плутона» — и далеко не единственным - «Новости сети»
Межзвёздная комета «Оумуамуа» может оказаться фрагментом «экзо-Плутона» — и далеко не единственным - «Новости сети»
 Sapphire выпустила белые материнские платы PURE B850A WIFI и PURE B850M WIFI для Ryzen 9000 - «Новости сети»
Sapphire выпустила белые материнские платы PURE B850A WIFI и PURE B850M WIFI для Ryzen 9000 - «Новости сети»
 Google признала «стремительный упадок» открытого интернета — раньше она говорила совсем другое - «Новости сети»
Google признала «стремительный упадок» открытого интернета — раньше она говорила совсем другое - «Новости сети»
 Польские СМИ раскрыли стартовые продажи хоррора Cronos: The New Dawn от разработчиков ремейка Silent Hill 2 - «Новости сети»
Польские СМИ раскрыли стартовые продажи хоррора Cronos: The New Dawn от разработчиков ремейка Silent Hill 2 - «Новости сети»
 Google добавила в Gemini поддержку аудиофайлов для всех платформ, включая iOS - «Новости сети»
Google добавила в Gemini поддержку аудиофайлов для всех платформ, включая iOS - «Новости сети»
 Атака хакеров нарушила работу компании Bridgestone - «Новости»
Атака хакеров нарушила работу компании Bridgestone - «Новости»
 Salesloft временно отключает Drift после массовой кражи данных - «Новости»
Salesloft временно отключает Drift после массовой кражи данных - «Новости»
 Минцифры опубликовало список ресурсов, которые будут доступны при отключении интернета - «Новости»
Минцифры опубликовало список ресурсов, которые будут доступны при отключении интернета - «Новости»
 «Лаборатория Касперского» изучила хак-группы, атакующие Россию - «Новости»
«Лаборатория Касперского» изучила хак-группы, атакующие Россию - «Новости»
 Предложение Минцифры сделает нормальную работу «Хакера» невозможной - «Новости»
Предложение Минцифры сделает нормальную работу «Хакера» невозможной - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Преимущества стилей » SFX-архивы могут скрыто запускать PowerShell - «Новости»

✔SFX-архивы могут скрыто запускать PowerShell - «Новости»

05 апреля 2023 618 Преимущества стилей / Добавления стилей / Новости / Самоучитель CSS / Типы носителей 0

Компания CrowdStrike предупреждает, что хакеры добавляют вредоносные функции в самораспаковывающиеся архивы (SFX), содержащие безвредные файлы-приманки. Это простая уловка позволяет злоумышленникам внедрять бэкдоры на машины жертв, не поднимая «тревоги».


Исследователи напоминают, что самораспаковывающиеся архивы, созданные с помощью таких архиваторов, как WinRAR и 7-Zip, по сути, представляют собой исполняемые файлы, которые содержат архивные данные вместе со встроенной функциональностью для распаковки. Доступ к таким файлам может быть защищен паролем для предотвращения несанкционированного доступа. Изначально SFX-файлы были созданы, чтобы упростить распространение данных среди пользователей, у которых нет архиватора для распаковки.


SFX-архивы могут скрыто запускать PowerShell - «Новости»

Защищенный паролем SFX-файл

Недавно эксперты Crowdstrike обнаружили злоумышленника, который использовал украденные учетные данные для злоупотребления utilman.exe (приложение специальных возможностей, которое можно запустить до входа пользователя в систему) и настроил его для запуска защищенного паролем SFX-файла, который был предварительно помещен в систему.





Файл SFX, запускаемый utilman.exe, был защищен паролем и содержал пустой текстовый файл, который служил приманкой. Настоящее предназначение архива заключалось в запуске PowerShell, командной строки Windows (cmd.exe) и «Диспетчера задач» с системными привилегиями.


Дальнейший анализ угрозы показал, что злоумышленник добавил сразу несколько команд, которые запускались после того, как цель распаковала архивный текстовый файл.





Как видно на скриншоте выше, атакующий настроил SFX-архив таким образом, чтобы в процессе извлечения не отображалось диалоговых окон. Также он добавил инструкции по запуску PowerShell, командной строки и «Диспетчера задач».


 


Дело в том, что WinRAR предлагает набор расширенных настроек для SFX, которые позволяют добавлять список исполняемых файлов для автоматического запуска до или после процесса распаковки, а также перезаписывать существующие файлы в папке назначения, если файлы с таким именем уже существуют.





«Поскольку этот SFX-архив можно запустить с экрана входа в систему, у злоумышленника фактически был постоянный бэкдор, к которому можно получить доступ для запуска PowerShell, командной строки Windows и “Диспетчера задач” с привилегиями NT AUTHORITYYSTEM, если был предоставлен правильный пароль, — объясняют эксперты. — Такой тип атаки, скорее всего, останется незамеченным традиционным антивирусным ПО, которое ищет вредоносное ПО внутри самого архива».


Исследователи напоминают, что пользователям стоит уделять особое внимание самораспаковывающимся архивам и использовать соответствующее ПО для проверки их содержимого и поиска потенциальных скриптов и команд, запланированных для запуска при извлечении.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Компания CrowdStrike предупреждает, что хакеры добавляют вредоносные функции в самораспаковывающиеся архивы (SFX), содержащие безвредные файлы-приманки. Это простая уловка позволяет злоумышленникам внедрять бэкдоры на машины жертв, не поднимая «тревоги». Исследователи напоминают, что самораспаковывающиеся архивы, созданные с помощью таких архиваторов, как WinRAR и 7-Zip, по сути, представляют собой исполняемые файлы, которые содержат архивные данные вместе со встроенной функциональностью для распаковки. Доступ к таким файлам может быть защищен паролем для предотвращения несанкционированного доступа. Изначально SFX-файлы были созданы, чтобы упростить распространение данных среди пользователей, у которых нет архиватора для распаковки. Защищенный паролем SFX-файл Недавно эксперты Crowdstrike обнаружили злоумышленника, который использовал украденные учетные данные для злоупотребления utilman.exe (приложение специальных возможностей, которое можно запустить до входа пользователя в систему) и настроил его для запуска защищенного паролем SFX-файла, который был предварительно помещен в систему. Файл SFX, запускаемый utilman.exe, был защищен паролем и содержал пустой текстовый файл, который служил приманкой. Настоящее предназначение архива заключалось в запуске PowerShell, командной строки Windows (cmd.exe) и «Диспетчера задач» с системными привилегиями. Дальнейший анализ угрозы показал, что злоумышленник добавил сразу несколько команд, которые запускались после того, как цель распаковала архивный текстовый файл. Как видно на скриншоте выше, атакующий настроил SFX-архив таким образом, чтобы в процессе извлечения не отображалось диалоговых окон. Также он добавил инструкции по запуску PowerShell, командной строки и «Диспетчера задач». Дело в том, что WinRAR предлагает набор расширенных настроек для SFX, которые позволяют добавлять список исполняемых файлов для автоматического запуска до или после процесса распаковки, а также перезаписывать существующие файлы в папке назначения, если файлы с таким именем уже существуют. «Поскольку этот SFX-архив можно запустить с экрана входа в систему, у злоумышленника фактически был постоянный бэкдор, к которому можно получить доступ для запуска PowerShell, командной строки Windows и “Диспетчера задач” с привилегиями NT AUTHORITYYSTEM, если был предоставлен правильный пароль, — объясняют эксперты. — Такой тип атаки, скорее всего, останется незамеченным традиционным антивирусным ПО, которое ищет вредоносное ПО внутри самого архива». Исследователи напоминают, что пользователям стоит уделять особое внимание самораспаковывающимся архивам и использовать соответствующее ПО для проверки их содержимого и поиска потенциальных скриптов и команд, запланированных для запуска при извлечении.
CSS
запостил(а)
Chapman
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: