Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-poweshell-without-being-detected/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #os #arquivos #winrar #sfx #podem #executar #o #powershell #sem #serem #detectados
Os hackers estão adicionando funcionalidade maliciosa aos arquivos de extração automática do WinRAR que contêm arquivos chamariz inofensivos, permitindo que eles plantem backdoors sem acionar o agente de segurança no sistema de destino.
Arquivos de extração automática (SFX) criados com software de compactação como WinRAR ou 7-Zip são essencialmente executáveis que contêm dados arquivados junto com um stub de descompactação integrado (o código para descompactar os dados). O acesso a esses arquivos pode ser protegido por senha para impedir o acesso não autorizado.
O objetivo dos arquivos SFX é simplificar a distribuição de dados arquivados para usuários que não possuem um utilitário para extrair o pacote.
SFX protegido por senha criado com 7-Zipsource: CrowdStrike
Pesquisadores da empresa de segurança cibernética CrowdStrike detectaram o abuso do SFX durante uma recente investigação de resposta a incidentes.
Ataques SFX na natureza
A análise da Crowdstrike descobriu um adversário que usou credenciais roubadas para abusar de 'utilman.exe' e o configurou para iniciar um arquivo SFX protegido por senha que havia sido implantado no sistema anteriormente.
Utilman é um aplicativo de acessibilidade que pode ser executado antes do login do usuário, frequentemente usado de forma abusiva por hackers para burlar a autenticação do sistema.
A ferramenta utilman na tela de login source: CrowdStrike
O arquivo SFX acionado por utilman.exe é protegido por senha e contém um arquivo de texto vazio que serve como isca.
A função real do arquivo SFX é abusar das opções de configuração do WinRAR para executar o PowerShell, o prompt de comando do Windows (cmd.exe) e o gerenciador de tarefas com privilégios de sistema.
Examinando mais de perto a técnica usada, Jai Minton, da CrowdStrike, descobriu que o invasor adicionou vários comandos para serem executados depois que o alvo extraiu o arquivo de texto arquivado.
Embora não haja malware no arquivo, o agente da ameaça adicionou comandos no menu de configuração para criar um arquivo SFX que abriria um backdoor no sistema.
Comandos na configuração do WinRAR SFX que permitem acesso backdoor source: CrowdStrike
Conforme visto na imagem acima, os comentários mostram que o invasor personalizou o arquivo SFX para que não haja caixa de diálogo e janela exibida durante o processo de extração. O agente da ameaça também adicionou instruções para executar o PowerShell, prompt de comando e gerenciador de tarefas.
O WinRAR oferece um conjunto de opções SFX avançadas que permitem adicionar uma lista de executáveis para serem executados automaticamente antes ou depois do processo, bem como substituir arquivos existentes na pasta de destino, caso existam entradas com o mesmo nome.
“Como esse arquivo SFX pode ser executado a partir da tela de logon, o adversário efetivamente tinha um backdoor persistente que podia ser acessado para executar o PowerShell, o prompt de comando do Windows e o gerenciador de tarefas com privilégios NT AUTHORITY\SYSTEM, desde que a senha correta fosse fornecida, ”explica Crowdstrike.
“É provável que esse tipo de ataque não seja detectado pelo software antivírus tradicional que procura malware dentro de um arquivo (que geralmente também é protegido por senha), em vez do comportamento de um stub de descompactador de arquivo SFX”, acrescentam os pesquisadores.
Origem da cadeia de ataque observada: CrowdStrike
Crowdstrike afirma que é improvável que arquivos SFX maliciosos sejam capturados por soluções AV tradicionais. Em nossos testes, o Windows Defender reagiu quando criamos um arquivo SFX personalizado para executar o PowerShell após a extração.
O agente de segurança da Microsoft detectou o executável resultante como um script malicioso rastreado como Wacatac e o colocou em quarentena. No entanto, registramos essa reação apenas uma vez e não conseguimos replicá-la.
Os pesquisadores aconselham os usuários a prestar atenção especial aos arquivos SFX e usar o software apropriado para verificar o conteúdo do arquivo e procurar possíveis scripts ou comandos programados para serem executados na extração.
Postar um comentário