黑客正在向包含無害誘餌文件的 WinRAR 自解壓文件中添加惡意功能，從而允許他們在不觸發目標系統上的安全代理的情況下植入后門。

使用 WinRAR 或 7-Zip 等壓縮軟件創建的自解壓存檔 (SFX) 本質上是包含存檔數據以及內置解壓縮（用于解壓數據的代碼）的可執行文件。可以使用密碼保護對這些文件的訪問，以防止未經授權的訪問。

使用 7-Zip 來源創建的受密碼保護的 SFX 文件

網絡安全公司 CrowdStrike 的研究人員在最近的事件響應調查中發現了 SFX 自解包文件的濫用行為。

野外的SFX攻擊

Crowdstrike 的分析發現，一個對手使用竊取的憑據濫用“utilman.exe”，并將其設置為啟動一個先前植入系統中的受密碼保護的 SFX 文件。

Utilman 是一個輔助功能應用程序，可以在用戶登錄之前執行，經常被黑客濫用以繞過系統身份驗證。

登錄屏幕上的 utilman 工具

由 utilman.exe 觸發的 SFX 文件受密碼保護，并包含一個用作誘餌的空文本文件。

SFX 文件的真正功能是濫用 WinRAR 的設置選項來運行 PowerShell、windows 命令提示符 (cmd.exe) 和具有系統權限的任務管理器。

CrowdStrike 的 Jai Minton 仔細研究了所使用的技術，發現攻擊者在目標提取存檔文本文件后添加了多個要運行的命令。

雖然存檔中沒有惡意軟件，但攻擊者在設置菜單下添加了命令，用于創建 SFX 自解包存檔文件，這將在系統打開一個后門。

WinRAR SFX 設置中允許后門訪問

如上圖所示，攻擊者自定義了 SFX 存檔，因此在提取過程中不顯示對話框和窗口。攻擊者還添加了運行 PowerShell、命令提示符和任務管理器的指令。

WinRAR 提供一組高級 SFX 選項，允許添加可執行文件列表以在進程之前或之后自動運行，以及如果存在具有相同名稱的條目，則覆蓋目標文件夾中的現有文件。

“因為這個 SFX 存檔可以從登錄屏幕運行，所以對手實際上有一個持久的后門，只要提供正確的密碼，就可以訪問它來運行 PowerShell、Windows 命令提示符和具有 NT AUTHORITYSYSTEM 權限的任務管理器。” Crowdstrike 解釋道。

研究人員補充說：“這種類型的攻擊很可能仍未被傳統防病毒軟件檢測到，傳統防病毒軟件正在尋找存檔內部的惡意軟件（通常也受密碼保護），而不是來自 SFX 自解包文件的行為。”

觀察到的攻擊鏈

Crowdstrike 聲稱惡意 SFX 文件不太可能被傳統的 AV 解決方案捕獲。在我們（bleepingcomputer.com）的測試中，Windows Defender 在我們創建自定義自解壓存檔以在提取后運行 PowerShell 時做出反應。

Microsoft 的安全代理將生成的可執行文件檢測為跟蹤為 Wacatac 的惡意腳本并將其隔離。然而，我們只記錄了一次這種反應，無法復現。

研究人員建議用戶特別注意 SFX 自解包檔案文件，使用適當的軟件來檢查自解包存檔文件的內容并尋找潛在的腳本或計劃在提取壓縮文件時運行的命令。

參考鏈接：
https://www.bleepingcomputer.com/news/security/winrar-sfx-archives-can-run-powershell-without-being-detected/