Bleeping Computer 網(wǎng)站披露，某些網(wǎng)絡(luò)犯罪分子正試圖在 WinRAR 自解壓檔案中添加惡意功能，這些檔案包含無害的誘餌文件，使其能夠在不觸發(fā)目標(biāo)系統(tǒng)上安全代理的情況下設(shè)置后門。

用 WinRAR 或 7-Zip 等壓縮軟件創(chuàng)建的自解壓檔案（SFX）本質(zhì)上是包含歸檔數(shù)據(jù)的可執(zhí)行文件，以及一個內(nèi)置解壓存根（解壓數(shù)據(jù)的代碼），對這些文件的訪問可以有密碼保護，以防止未經(jīng)授權(quán)的訪問。（SFX 文件目的是為了簡化向沒有提取軟件包的用戶分發(fā)存檔數(shù)據(jù)的過程。）

使用7-Zip創(chuàng)建受密碼保護的SFX （來源：CrowdStrike）

然而，網(wǎng)絡(luò)安全公司 CrowdStrike 的研究人員在最近的一次事件響應(yīng)調(diào)查中發(fā)現(xiàn)了 SFX 濫用。

野外發(fā)現(xiàn) SFX 攻擊

Crowdstrike 發(fā)現(xiàn)了一個網(wǎng)絡(luò)犯罪分子使用竊取來的憑據(jù)濫用“utilman.exe”，將其設(shè)置為啟動一個受密碼保護的 SFX 文件，并且該文件之前已植入系統(tǒng)。 （Utilman 是一種可訪問性應(yīng)用程序，可以在用戶登錄之前執(zhí)行，經(jīng)常被黑客濫用以繞過系統(tǒng)身份驗證。）

登錄屏幕上的 utilman 工具 （來源：CrowdStrike）

utilman.exe 觸發(fā)的 SFX 文件不僅受密碼保護，而且包含一個用作誘餌的空文本文件。SFX  文件的真正功能是濫用 WinRAR 的設(shè)置選項，以系統(tǒng)權(quán)限運行 PowerShell、Windows 命令提示符（cmd.exe）和任務(wù)管理器。

CrowdStrike 的研究人員仔細研究了其中的技術(shù)細節(jié)，發(fā)現(xiàn)攻擊者在目標(biāo)提取存檔的文本文件后添加了多個命令來運行。雖然檔案中沒有惡意軟件，但威脅攻擊者在設(shè)置菜單下添加了創(chuàng)建 SFX 檔案的命令，該檔案可能成為“打開”目標(biāo)系統(tǒng)的后門。

WinRAR SFX 設(shè)置中允許后門訪問的命令 （來源：CrowdStrike）

如上圖所示，注釋顯示在攻擊者自定義 SFX 存檔后，在提取過程中不會顯示任何對話框和窗口。此外，威脅攻擊者還添加了運行 PowerShell、命令提示符和任務(wù)管理器的指令。WinRAR 提供了一組高級 SFX 選項，允許添加一個可執(zhí)行文件列表，以便在進程之前或之后自動運行，如果存在同名條目，還可以覆蓋目標(biāo)文件夾中的現(xiàn)有文件。

Crowdstrike 解釋說因這個 SFX 檔案可以從登錄屏幕上運行，所以攻擊者實際上有個持久后門，只要提供了正確的密碼，就可以訪問它來運行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 權(quán)限的任務(wù)管理器。

研究人員進一步強調(diào)，傳統(tǒng)的反病毒軟件很可能無法檢測到這種類型的攻擊，畢竟檢測軟件只在檔案（通常也有密碼保護）中尋找惡意軟件，而不是 SFX 檔案解壓縮器存根的行為。

觀察到的攻擊鏈 （來源：CrowdStrike）

Crowdstrike 聲稱，惡意的 SFX 文件不太可能被傳統(tǒng)惡意軟件解決方案捕獲。在測試過程中，安全人員創(chuàng)建了一個自定義的 SFX 存檔以提取后運行 PowerShell 時，Windows Defender 做出了反應(yīng)，然而，僅僅只記錄了一次這種反應(yīng)，無法復(fù)制。

最后，研究人員建議用戶應(yīng)特別注意 SFX 檔案，并使用適當(dāng)?shù)能浖z查檔案的內(nèi)容。