کد QR مطلبدریافت صفحه با کد QR

اجرای فایل‌های مخرب به کمک WinRAR

مرکز مدیریت راهبردی افتا , 21 فروردين 1402 ساعت 13:36

بر اساس گزارشی که شرکت کراود‌استرایک (CrowdStrike) آن را منتشر کرده، مهاجمان با بکارگیری فایل‌های فشرده‌شده SFX و با سوءاستفاده از برخی قابلیت‌های نرم‌افزار WinRAR اقدام به اجرای فایل‌های مخرب مورد نظر خود می‌کنند.


مرکز مدیریت راهبردی افتا: بر اساس گزارشی که شرکت کراود‌استرایک (CrowdStrike) آن را منتشر کرده، مهاجمان با بکارگیری فایل‌های فشرده‌شده SFX و با سوءاستفاده از برخی قابلیت‌های نرم‌افزار WinRAR اقدام به اجرای فایل‌های مخرب مورد نظر خود می‌کنند.

به گزارش افتانا، به گزارش مرکز مدیریت راهبردی افتا، SFX، یکی از انواع فرمت‌های به اصطلاح خودبازشونده (Self-extracting) است. در نرم‌افزارهایی همچون ۷-Zip و WinRAR می‌توان فایل‌های فشرده‌شده را همراه با ابزار بازشونده (Decompressor) به‌صورت اجرایی، در قالب SFX، ذخیره کرد تا هر کاربر بدون نیاز به این نرم‌افزارها هم قادر به باز کردن آن باشد. هدف از استفاده از فایل‌های SFX، ساده‌سازی عملیات Extract فایل‌های فشرده برای کاربرانی است که ابزاری برای استخراج فایل‌های فشرده در اختیار ندارند.

هر فایل SFX می‌تواند برای جلوگیری از دسترسی غیرمجاز به محتوای آن با رمز عبور محافظت شود. بدین‌ترتیب، تنها کاربری که از رمز عبور آن مطلع باشد به محتوای فایل‌های فشرده‌شده دسترسی خواهد داشت.


شرکت کراود‌استرایک، حمله‌ای را شناسایی کرده که در آن، مهاجمان از طریق اطلاعات اصالت‌سنجی سرقت‌شده اقدام به سوءاستفاده از utilman.exe کرده و یک فایل SFX را که از قبل بر روی دستگاه قربانی جاسازی شده بود، اجرا کرده‌اند.

Utilman ابزاری است که می‌تواند قبل از ورود (Login) کاربر اجرا شود. این ابزار، اغلب توسط هکرها برای دور زدن مراحل احراز هویت سیستم مورد سوءاستفاده قرار می‌گیرد.


در این حمله، فایل SFX که توسط utilman.exe فراخوانی می‌شود، با رمز عبور محافظت شده است.این SFX ، حاوی یک فایل متنی خالی است که برای فریب قربانی عمل می‌کند. حال آن که وظیفه اصلی این فایل SFX، سوءاستفاده از قابلیت‌های WinRAR به‌منظور اجرای PowerShell، پروسه cmd.exe و Task Manager با سطح دسترسی سیستمی است.

با وجود اینکه هیچ بدافزاری در فایل فشرده وجود ندارد، مهاجمان فرامینی را در منوی Setup نرم‌افزار WinRAR برای ایجاد یک فایل فشرده SFX اضافه کردند که در زمان Extract شدن SFX به ایجاد در پشتی در سیستم منجر می‌شود.


همانطور که در تصویر بالا مشاهده می‌شود، تحلیل دستورات، حاکی از آن است که مهاجمان، فایل SFX را به گونه‌ای سفارشی کرده‌اند که هیچ پنجره‌ای در طول فرآیند Extract نمایش داده نشود. مهاجمان همچنین دستورالعمل‌هایی را برای اجرای PowerShell، پروسه cmd.exe و Task Manager اضافه کرده‌اند.

WinRAR مجموعه‌ای از قابلیت‌های پیشرفته SFX را ارائه می‌دهد که اجازه اضافه نمودن فهرستی از فایل‌های اجرایی را می‎دهد تا قبل یا بعد از فرآیند Extract به‌طور خودکار اجرا شوند. همچنین در صورت وجود ورودی‌هایی با همان نام، فایل‌های موجود در پوشه مقصد بازنویسی شوند.




از آنجایی که این فایل فشرده SFX می‌تواند از صفحه ورود Logon اجرا شود، مهاجم عملاً به یک Backdoor دائمی دسترسی دارد که مهاجمان تا قبل از ورود کاربر به سیستم می‌توانند کنترل آن را در اختیار داشته باشند.


نکته قابل توجه اینکه فایل‌های فشرده‌ای (Archive) که توسط رمز عبور محافظت شده‌اند توسط محصولات ضدبدافزار قابل پویش و اسکن نیستند. ضمن آن که پروسه‌های اجرا شده در جریان این حمله نیز همگی معتبر بوده‌اند.

از این رو محققان به کاربران و راهبران امنیتی توصیه می‌کنند که توجه ویژه‌ای به فایل‌های فشرده WinRAR SFX داشته باشند و از نرم‌افزار مناسب برای بررسی محتوای این گونه فایل‌ها و جستجوی اسکریپت‌ها یا فرامین بالقوه‌ای که قرار است پس از Extract اجرا شوند، استفاده کنند.


کد مطلب: 20622

آدرس مطلب :
https://www.aftana.ir/news/20622/اجرای-فایل-های-مخرب-کمک-winrar

افتانا
  https://www.aftana.ir