Durante una recente indagine sulla risposta agli incidenti, i ricercatori della società di sicurezza informatica CrowdStrike hanno individuato uno sfruttamento di archivi SFX per rilasciare una backdoor, persistente sul dispositivo della vittima, tramite lo stub di decompressione.
I file di archivio autoestraenti SFX sono eseguibili legittimi che funzionano aggiungendo il contenuto da archiviare a uno stub di decompressione che consente di visualizzare facilmente i file compressi a chi non dispone del relativo software di decompressione.
Piuttosto che nascondere il malware all’interno di un archivio (azione solitamente rilevata dal software antivirus), gli autori di questa campagna hanno pensato bene di abusare dello stub di decompressione dell’archivio SFX per rilasciare una backdoor.
“Due esempi di software che consentono la creazione di un archivio SFX sono 7-Zip e WinRAR: ognuno ha una versione specifica di uno stub di decompressione ed entrambi hanno funzionalità che possono essere utilizzate o abusate.”, commenta Jai Minton del Falcon OverWatch Team.
Cosa accade
Crowdstrike ha scoperto un attaccante che utilizzava credenziali rubate per usare in modo improprio “utilman.exe“, un Windows Utility Manager, ed impostarlo per avviare un file SFX di WinRAR protetto da password precedentemente inserito nel sistema.
“I Falcon OverWatch threat hunters hanno recentemente scoperto un avversario che tenta di stabilire la persistenza attraverso l’uso di un debugger di Image File Execution Options dopo aver ottenuto l’accesso a un sistema utilizzando credenziali compromesse.“, si legge sul rapporto.
In realtà la vera funzione del file SFX (opportunamente configurato) era quella di eseguire PowerShell, il prompt dei comandi di Windows (cmd.exe) e il task manager con privilegi di sistema.
Infatti l’analisi ha portato a scoprire che sebbene non ci siano malware nell’archivio, l’attore malevolo aveva aggiunto ulteriori comandi nel menu di configurazione di WinRAR da eseguire durante l’estrazione dell’archivio per aprire una backdoor sul sistema.
I comandi mostrano che l’attaccante ha personalizzato l’archivio SFX in modo che l’estrazione avvenisse in background (silent=1) con sovrascrittura di tutti file esistenti (overwrite=1) e aggiungendo anche istruzioni per eseguire PowerShell, il prompt dei comandi e il task manager.
Prestare attenzione
“L’abuso degli archivi WinRAR SFX continuerà probabilmente a essere un mezzo efficace per non essere scoperti, ora e in futuro. A causa del diffuso abuso degli archivi SFX, è importante comprendere le funzionalità estese fornite da alcuni archivi SFX e i vari modi in cui gli attaccanti li sfruttano nelle loro intrusioni.“, conclude il Threath Hunter Jai Minton.
I ricercatori consigliano di prestare particolare attenzione agli archivi SFX e di utilizzare un software appropriato per controllarne il contenuto potenzialmente pericoloso e che potrebbe essere eseguito durante la fase di decompressione.
