05 avril 2023Ravie LakshmananSécurité des points finaux / Logiciels malveillants

Archives Auto-Extractibles

Un pirate inconnu a utilisé une archive auto-extractible malveillante (Effets spéciaux) fichier dans le but d’établir un accès par porte dérobée persistant à l’environnement d’une victime, selon les nouvelles découvertes de CrowdStrike.

Les fichiers SFX sont capables d’extraire les données qu’ils contiennent sans avoir besoin d’un logiciel dédié pour afficher le contenu du fichier. Il y parvient en incluant un stub de décompresseur, un morceau de code qui est exécuté pour décompresser l’archive.

« Cependant, les fichiers d’archives SFX peuvent également contenir des fonctionnalités malveillantes cachées qui peuvent ne pas être immédiatement visibles pour le destinataire du fichier et pourraient être manquées par les seules détections basées sur la technologie », a déclaré Jai Minton, chercheur chez CrowdStrike. a dit.

Dans le cas étudié par la société de cybersécurité, des informations d’identification compromises sur un système ont été utilisées pour exécuter une application d’accessibilité Windows légitime appelée Utility Manager (utilman.exe), puis lancer un fichier SFX protégé par mot de passe.

Publicité

Ceci, à son tour, est rendu possible par configuration d’un débogueur (un autre exécutable) dans le registre Windows à un programme spécifique (dans ce cas, utilman.exe) afin que le débogueur soit automatiquement lancé à chaque lancement du programme.

L’abus d’utilman.exe est également remarquable car il peut être lancé directement à partir de l’écran de connexion Windows en utilisant le Touche de logo Windows + raccourci clavier Upermettant potentiellement aux pirates de configurer des portes dérobées via la clé de registre Image File Execution Options.

« Une inspection plus approfondie de l’archive SFX a révélé qu’elle fonctionne comme une porte dérobée protégée par un mot de passe en abusant des options de configuration de WinRAR plutôt que de contenir des logiciels malveillants », a expliqué Minton.

Archives Auto-Extractibles

Plus précisément, le fichier est conçu pour exécuter PowerShell (powershell.exe), l’invite de commande (cmd.exe) et le gestionnaire de tâches (taskmgr.exe) avec les privilèges NT AUTHORITY\SYSTEM en fournissant le bon mot de passe à l’archive.

« Ce type d’attaque est susceptible de ne pas être détecté par les logiciels antivirus traditionnels qui recherchent des logiciels malveillants à l’intérieur d’une archive (qui est souvent également protégée par un mot de passe) plutôt que le comportement d’un stub de décompresseur d’archive SFX », a ajouté Minton.

WEBINAIRE À VENIR

Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées

Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !

Ne manquez rien – Réservez votre siège !

Ce n’est pas la première fois que des fichiers SFX sont utilisés dans des attaques comme moyen pour les attaquants de ne pas être détectés. En septembre 2022, Kaspersky a divulgué une campagne de logiciels malveillants qui utilisait des liens vers de tels fichiers protégés par mot de passe pour propager Voleur RedLine.

Un mois plus tard, le tristement célèbre botnet Emotet a été observé en train d’envoyer une archive SFX qui, une fois ouverte par un utilisateur, extrayait automatiquement une deuxième archive SFX protégée par mot de passe, saisissait le mot de passe et exécutait son contenu sans autre interaction de l’utilisateur à l’aide d’un script batch. .

Pour atténuer les menaces posées par ce vecteur d’attaque, il est recommandé d’analyser les archives SFX à l’aide d’un logiciel de désarchivage afin d’identifier tout script ou binaire potentiel configuré pour extraire et s’exécuter lors de l’exécution.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentComment les alertes de taux d’utilisation de l’API sont calculées dans Red Hat OpenShift
Article suivantAMD Ryzen 7 7800X3D Review – Le meilleur processeur de jeu
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici