استخدم ممثل تهديد غير معروف ملف أرشيف استخراج ذاتي خبيث ( SFX ) في محاولة لإنشاء وصول خلفي مستمر إلى بيئة الضحية ، أظهرت النتائج الجديدة من CrowdStrike.
ملفات SFX قادرة على استخراج البيانات الموجودة بداخلها دون الحاجة إلى برامج مخصصة لعرض محتويات الملف. يحقق ذلك من خلال تضمين كعب برنامج إلغاء الضغط ، وهو جزء من التعليمات البرمجية يتم تنفيذه لفك ضغط الأرشيف.
قال جاي مينتون الباحث في CrowdStrike: "ومع ذلك ، يمكن أن تحتوي ملفات أرشيف SFX أيضًا على وظائف ضارة مخفية قد لا تكون مرئية على الفور لمتلقي الملف ، ويمكن أن تفوتها الاكتشافات القائمة على التكنولوجيا وحدها" .
في الحالة التي تم التحقيق فيها من قبل شركة الأمن السيبراني ، تم استخدام بيانات الاعتماد المخترقة لنظام لتشغيل تطبيق وصول Windows شرعي يسمى Utility Manager (utilman.exe) ثم تشغيل ملف SFX محمي بكلمة مرور.
هذا ، بدوره ، أصبح ممكنًا من خلال تكوين مصحح أخطاء (ملف تنفيذي آخر) في سجل Windows إلى برنامج معين (في هذه الحالة ، utilman.exe) بحيث يتم تشغيل مصحح الأخطاء تلقائيًا في كل مرة يتم فيها تشغيل البرنامج.
أوضح مينتون: "كشف الفحص الدقيق لأرشيف SFX أنه يعمل كباب خلفي محمي بكلمة مرور من خلال إساءة استخدام خيارات إعداد WinRAR بدلاً من احتوائه على أي برامج ضارة".
على وجه التحديد ، تم تصميم الملف لتشغيل PowerShell (powershell.exe) ، موجه الأوامر (cmd.exe) ، وإدارة المهام (taskmgr.exe) بامتيازات NT AUTHORITY \ SYSTEM من خلال توفير كلمة المرور الصحيحة للأرشيف.
وأضاف مينتون: "من المرجح أن يظل هذا النوع من الهجوم غير مكتشف بواسطة برامج مكافحة الفيروسات التقليدية التي تبحث عن برامج ضارة داخل الأرشيف (والتي غالبًا ما تكون محمية بكلمة مرور) بدلاً من السلوك من كعب ضغط أرشيف SFX."
ليست هذه هي المرة الأولى التي يتم فيها استخدام ملفات SFX في الهجمات كوسيلة للمهاجمين للبقاء غير مكتشفة. في سبتمبر 2022 ، كشفت Kaspersky عن حملة برامج ضارة استخدمت روابط لمثل هذه الملفات المحمية بكلمة مرور لنشر RedLine Stealer .
بعد شهر ، لوحظ أن الروبوتات Emotet سيئة السمعة ترسل أرشيف SFX الذي ، بمجرد فتحه من قبل المستخدم ، سيقوم تلقائيًا باستخراج أرشيف SFX الثاني المحمي بكلمة مرور ، وإدخال كلمة المرور ، وتنفيذ محتواه دون مزيد من تفاعل المستخدم باستخدام البرنامج النصي الدفعي .
للتخفيف من التهديدات التي يشكلها متجه الهجوم هذا ، يوصى بتحليل أرشيفات SFX من خلال برنامج غير مؤرشف لتحديد أي برامج نصية أو ثنائيات محتملة تم تعيينها لاستخراجها وتشغيلها عند التنفيذ.