Zloupotreba WinRAR SFX arhiva za backdoor instalaciju
Otkrivena je zloupotreba WinRAR SFX arhiva za backdoor instalaciju koju mehanizmi zaštite teško otkrivaju.
Zloupotreba WinRAR SFX arhiva za backdoor instalaciju; Dizajn: Saša Đurić
SFX arhive
SFX arhive su dugo prisutne u upotrebi. One sadrže dekompresor koji omogućava korisnicima da raspakuju i pregledaju sadržaj arhive bez dodatnog softvera. Softveri za arhiviranje dokumenata kao što su WinRAR i 7-Zip koristi SFX tehnologiju da olakšaju distribuciju softvera i datoteka. WinRAR je posebno za SFX arhive omogućio napredne opcije kao što su mogućnosti izvršavanja komandi pre i posle podešavanja i zamjena svih postojećih datoteka ili direktorijuma u ciljnom direktorijumu.
Napad sa lozinkom zaštićenim SFX arhivama
Zlonamjerni akteri iskorištavaju WinRAR self-extracting (SFX) arhive koje su posebno pripremljene da zavaraju korisnike, a sadrže zlonamjerne funkcionalnosti za instalaciju backdoor zlonamjernog softvera bez detekcije od strane sigurnosnih rješenja za zaštitu korisnika. Napad ne zahteva da korisnik ima WinRAR ili bilo koji drugi softver za arhiviranje, jer su SFX datoteke dizajnirane da omoguće pristup sadržaju bez softverskog uslovljavanja, u cilju jednostavnije distribucije arhiviranih podataka korisnicima koji nemaju pomoćni program za raspakivanje arhiva.
Uobičajena je praksa da poslovne organizacije koriste SFX zaštićene lozinkom. Ove arhive su šifrovane korištenjem komercijalnih proizvoda i može im se pristupiti samo sa tačnom lozinkom, a nakon unosa lozinke datoteka postaje SFX arhiva sa izvršnom ekstenzijom. Napadači sada zloupotrebljavaju napredne karakteristike WinRAR SFX arhiva koje se odnose na mogućnost uključivanja proširenih SFX komandi, koje se pokreću nakon uspješnog raspakivanja datoteke.
Unutar ovih komandi nalazi se opcija podešavanja koja se koristi za određivanje izvršne datoteke koja treba da se pokrene nakon uspješnog raspakivanja, a napadači to mogu zloupotrebiti kako bi izvršili pokretanje zlonamjernog softvera koji se nalazi u SFX arhivi nakon što raspakuju arhivu na disk. Međutim, SFX arhiva preko koje se vrši napad na korisnike ne mora da sadrži zlonamjerni softver, umjesto toga se može koristiti za pokretanje zlonamjernih komandi koristeći postojeće funkcije dekompresora.
Proces zloupotrebe
Pošto SFX arhiva sadrži važeću arhivu, metapodaci svake datoteke sadržane u ovoj arhivi često nisu šifrovani i zaštićeni lozinkom, čak i ako sadržaj tih datoteka jeste. Pregledom metapodataka datoteke u arhivi otkriveno je da je arhiva sadrži prazan tekstualni dokument, koji je na prvi pogled služi samo kao mamac.
Pažljivija analiza posebno pripremljene SFX arhive otkriva da ona funkcioniše kao backdoor zaštićen lozinkom tako što zloupotrebljava napredne opcije podešavanja WinRAR softvera umjesto da sadrži zlonamjerni softver. U arhivu je upisan komentar koji sadrži komande SFX skripte za podešavanje koje treba pokrenuti.
Ovi komentari se dodaju bilo kojoj SFX arhivi korištenjem naprednih opcija kako bi se osiguralo da se prilikom raspakivanja arhive automatski prepišu sve postojeće datoteke, sakriju sva obavještenja uključena u ovaj proces i po završetku da se izvrši pokretanje powershell.exe, cmd.exe i taskmgr.exe.
Complete adversarial persistence attack chain; Source: CrowdStrike
Napadači sada zloupotrebljavaju utilman.exe aplikaciju za pristupačnost koja se može izvršiti pre prijavljivanja korisnika u kombinaciji sa ukradenim lozinkama, koja se sada koristi da bi se zaobišla autentifikacija sistema. Aplikacija utilman.exe pokreće SFX arhivu koja je zaštićena lozinkom i čija je svrha da zloupotrebi napredne opcije WinRAR i izvrši pokretanje powershell.exe, cmd.exe i taskmgr.exe sa sistemskim privilegijama.
Ova vrsta napada će vjerovatno ostati neotkrivena od strane tradicionalnog antivirusnog softvera koji traži zlonamjerni softver unutar arhive (koja je često zaštićena lozinkom), a ne praćenjem ponašanja procesa raspakivanja SFX arhive.
Zaključak
Zlonamjerni uzorci SFX arhiva koji su bili ili zaštićeni lozinkom ili koji su sadržali naizgled legitimne datoteke, ali su koristili WinRAR parametre podešavanja za izvršavanje zlonamjernih komandi, imali su relativno niske stope otkrivanja, bilo pri slanju ili u nekim slučajevima čak i nakon što su bili javno dostupni više godina. Ovo ukazuje da će zloupotreba WinRAR SFX arhiva vjerovatno nastaviti da bude efikasno sredstvo da napadač ostane neotkriven sada, a i u budućnosti.
Zaštita
Korisnicima se preporučuje da obrate posebnu pažnju na SFX arhive i koriste odgovarajući softver za provjeru sadržaja arhive, kao i da traže potencijalne skripte ili komande koje treba da se pokreću nakon raspakivanja arhive.
