{"id":4592,"date":"2023-04-04T23:40:25","date_gmt":"2023-04-04T22:40:25","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4592"},"modified":"2023-04-11T21:45:15","modified_gmt":"2023-04-11T20:45:15","slug":"zloupotreba-winrar-sfx-arhiva-za-backdoor-instalaciju","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/04\/04\/zloupotreba-winrar-sfx-arhiva-za-backdoor-instalaciju\/","title":{"rendered":"Zloupotreba WinRAR SFX arhiva za backdoor instalaciju"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Otkrivena je <a href=\"https:\/\/www.crowdstrike.com\/blog\/self-extracting-archives-decoy-files-and-their-hidden-payloads\/\" target=\"_blank\" rel=\"noopener\">zloupotreba <em>WinRAR SFX<\/em> arhiva<\/a> za <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em><\/a> instalaciju koju mehanizmi za\u0161tite te\u0161ko otkrivaju.<\/span><\/p>\n<div id=\"attachment_4595\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4595\" class=\"size-full wp-image-4595\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX.jpg\" alt=\"WinRAR SFX\" width=\"1024\" height=\"678\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-300x199.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-768x509.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4595\" class=\"wp-caption-text\"><em>Zloupotreba WinRAR SFX arhiva za backdoor instalaciju; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong><em>SFX<\/em> arhive<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SFX <\/em>arhive su dugo prisutne u upotrebi. One sadr\u017ee dekompresor koji omogu\u0107ava korisnicima da raspakuju i pregledaju sadr\u017eaj arhive bez dodatnog softvera. Softveri za arhiviranje dokumenata kao \u0161to su <em>WinRAR<\/em> i 7-<em>Zip<\/em> koristi <em>SFX<\/em> tehnologiju da olak\u0161aju distribuciju softvera i datoteka. <em>WinRAR<\/em> je posebno za <em>SFX<\/em> arhive omogu\u0107io napredne opcije kao \u0161to su mogu\u0107nosti izvr\u0161avanja komandi pre i posle pode\u0161avanja i zamjena svih postojec\u0301ih datoteka ili direktorijuma u ciljnom direktorijumu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Napad sa lozinkom za\u0161ti\u0107enim <em>SFX<\/em> arhivama<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> iskori\u0161tavaju <em>WinRAR self-extracting<\/em> (<em>SFX<\/em>) arhive koje su posebno pripremljene da zavaraju korisnike, a sadr\u017ee zlonamjerne funkcionalnosti za instalaciju <em>backdoor<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> bez detekcije od strane sigurnosnih rje\u0161enja za za\u0161titu korisnika.\u00a0 Napad ne zahteva da korisnik ima <em>WinRAR<\/em> ili bilo koji drugi softver za arhiviranje, jer su <em>SFX<\/em> datoteke dizajnirane da omogu\u0107e pristup sadr\u017eaju bez softverskog uslovljavanja, u cilju jednostavnije distribucije arhiviranih podataka korisnicima koji nemaju pomo\u0107ni program za raspakivanje arhiva.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uobi\u010dajena je praksa da poslovne organizacije koriste <em>SFX<\/em> za\u0161ti\u0107ene <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkom<\/a>. Ove arhive su \u0161ifrovane kori\u0161tenjem komercijalnih proizvoda i mo\u017ee im se pristupiti samo sa ta\u010dnom lozinkom, a nakon unosa lozinke datoteka postaje <em>SFX<\/em> arhiva sa izvr\u0161nom ekstenzijom. Napada\u010di sada zloupotrebljavaju napredne karakteristike <em>WinRAR SFX<\/em> arhiva koje se odnose na mogu\u0107nost uklju\u010divanja pro\u0161irenih <em>SFX<\/em> komandi, koje se pokrec\u0301u nakon uspje\u0161nog raspakivanja datoteke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Unutar ovih komandi nalazi se opcija pode\u0161avanja koja se koristi za odre\u0111ivanje izvr\u0161ne datoteke koja treba da se pokrene nakon uspje\u0161nog raspakivanja, a napada\u010di to mogu zloupotrebiti kako bi izvr\u0161ili pokretanje zlonamjernog softvera koji se nalazi u <em>SFX<\/em> arhivi nakon \u0161to raspakuju arhivu na disk. Me\u0111utim, <em>SFX<\/em> arhiva preko koje se vr\u0161i napad na korisnike ne mora da sadr\u017ei zlonamjerni softver, umjesto toga se mo\u017ee koristiti za pokretanje zlonamjernih komandi koriste\u0107i postoje\u0107e funkcije dekompresora.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Proces zloupotrebe<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Po\u0161to <em>SFX<\/em> arhiva sadr\u017ei va\u017eec\u0301u arhivu, metapodaci svake datoteke sadr\u017eane u ovoj arhivi \u010desto nisu \u0161ifrovani i za\u0161ti\u0107eni lozinkom, \u010dak i ako sadr\u017eaj tih datoteka jeste. Pregledom metapodataka datoteke u arhivi otkriveno je da je arhiva sadr\u017ei prazan tekstualni dokument, koji je na prvi pogled slu\u017ei samo kao mamac.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pa\u017eljivija analiza posebno pripremljene <em>SFX<\/em> arhive otkriva da ona funkcioni\u0161e kao <em>backdoor<\/em> za\u0161ti\u0107en lozinkom tako \u0161to zloupotrebljava napredne opcije pode\u0161avanja <em>WinRAR<\/em> softvera umjesto da sadr\u017ei zlonamjerni softver. U arhivu je upisan komentar koji sadr\u017ei komande <em>SFX<\/em> skripte za pode\u0161avanje koje treba pokrenuti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovi komentari se dodaju bilo kojoj <em>SFX<\/em> arhivi kori\u0161tenjem naprednih opcija kako bi se osiguralo da se prilikom raspakivanja arhive automatski prepi\u0161u sve postojec\u0301e datoteke, sakriju sva obavje\u0161tenja uklju\u010dena u ovaj proces i po zavr\u0161etku\u00a0 da se izvr\u0161i pokretanje <em>powershell.exe, cmd.exe <\/em>i <em>taskmgr.exe<\/em>.<\/span><\/p>\n<div id=\"attachment_4596\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4596\" class=\"size-full wp-image-4596\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-chain.webp\" alt=\"WinRAR SFX chain\" width=\"1024\" height=\"408\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-chain.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-chain-300x120.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-chain-768x306.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/WinRAR-SFX-chain-18x7.webp 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4596\" class=\"wp-caption-text\"><em>Complete adversarial persistence attack chain; Source: <\/em><a href=\"https:\/\/www.crowdstrike.com\/blog\/self-extracting-archives-decoy-files-and-their-hidden-payloads\/\" target=\"_blank\" rel=\"noopener\"><em>CrowdStrike<\/em><\/a><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">Napada\u010di sada zloupotrebljavaju <em>utilman.exe<\/em> aplikaciju za pristupa\u010dnost koja se mo\u017ee izvr\u0161iti pre prijavljivanja korisnika u kombinaciji sa ukradenim lozinkama, koja se sada koristi da bi se zaobi\u0161la autentifikacija sistema. Aplikacija <em>utilman.exe<\/em> pokre\u0107e <em>SFX<\/em> arhivu koja je za\u0161ti\u0107ena lozinkom i \u010dija je svrha da zloupotrebi napredne opcije <em>WinRAR<\/em> i izvr\u0161i pokretanje <em>powershell.exe, cmd.exe <\/em>i <em>taskmgr.exe<\/em> sa sistemskim privilegijama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova vrsta napada \u0107e vjerovatno ostati neotkrivena od strane tradicionalnog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnog softvera<\/a> koji tra\u017ei zlonamjerni softver unutar arhive (koja je \u010desto za\u0161ti\u0107ena lozinkom), a ne pra\u0107enjem pona\u0161anja procesa raspakivanja <em>SFX<\/em> arhive.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>Zaklju\u010dak<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni uzorci <em>SFX<\/em> arhiva koji su bili ili za\u0161ti\u0107eni lozinkom ili koji su sadr\u017eali naizgled legitimne datoteke, ali su koristili <em>WinRAR<\/em> parametre pode\u0161avanja za izvr\u0161avanje zlonamjernih komandi, imali su relativno niske stope otkrivanja, bilo pri slanju ili u nekim slu\u010dajevima \u010dak i nakon \u0161to su bili javno dostupni vi\u0161e godina. Ovo ukazuje da \u0107e zloupotreba <em>WinRAR<\/em> <em>SFX<\/em> arhiva vjerovatno nastaviti da bude efikasno sredstvo da napada\u010d ostane neotkriven sada, a i u budu\u0107nosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Korisnicima se preporu\u010duje da obrate posebnu pa\u017enju na <em>SFX<\/em> arhive i koriste odgovaraju\u0107i softver za provjeru sadr\u017eaja arhive, kao i da tra\u017ee potencijalne skripte ili komande koje treba da se pokrec\u0301u nakon raspakivanja arhive.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Otkrivena je zloupotreba WinRAR SFX arhiva za backdoor instalaciju koju mehanizmi za\u0161tite te\u0161ko otkrivaju. SFX arhive SFX arhive su dugo prisutne u upotrebi. One sadr\u017ee dekompresor koji omogu\u0107ava korisnicima da raspakuju i pregledaju sadr\u017eaj&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4595,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[329,142,331,93,275,330,328,76],"class_list":["post-4592","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-7-zip","tag-backdoor","tag-cmd","tag-malware","tag-powershell","tag-sfx","tag-winrar","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4592","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4592"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4592\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4595"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4592"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4592"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4592"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}