แฮกเกอร์เพิ่มฟังก์ชันการทำงานลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX
แฮกเกอร์เพิ่มฟังก์ชันการทำงานที่เป็นอันตรายลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX ลงไปเพื่อทำการติดตั้งแบ็คดอร์บนระบบของเหยื่อ ซึ่งวิธีการนี้ส่งผลให้แฮกเกอร์สามารถหลบเลี่ยงการตรวจจับได้ โดยไฟล์ SFX จะมีไฟล์สำหรับเรียกใช้ PowerShell และตัวจัดการสิทธิ์การเข้าถึงของระบบ
การโจมตีเริ่มต้นจากแฮกเกอร์จะทำการฝังไฟล์ SFX ที่เข้ารหัสไว้ผ่าน WinRAR หรือ 7-Zip จากนั้นแฮกเกอร์จะเข้าถึงระบบของเหยื่อโดยการ compromised credentials และการใช้ Utility Manager (utilman[.] exe) ที่ถูกตั้งค่าให้กำหนดค่า debugger ใน Windows Registry ที่เป็นโปรแกรมเฉพาะ โดยจะเริ่มทำการ debug อัตโนมัติทุกครั้งที่เปิดโปรแกรม ต่อมาที่ utilman[.] exe จะเรียกใช้ไฟล์ SFX ที่ได้รับการออกแบบมาเพื่อเรียกใช้ PowerShell เพิ่มหลายคำสั่ง และสร้างไฟล์ SFX Archive เพื่อเปิดแบ็คดอร์บนระบบของเหยื่อ
ภายในไฟล์ SFX จะดูเหมือนว่าว่างเปล่า ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมตรวจจับและผู้ดูแลระบบได้อย่างง่ายดาย แต่เมื่อไฟล์ SFX ได้ทำการ Combined เข้ากับ Registry Key เฉพาะ แล้วนั้นอาจทำให้แฮกเกอร์สร้างแบ็คดอร์อย่างถาวรบนระบบของเหยื่อได้
เหตุผลที่แฮกเกอร์เลือกใช้ utilman[.] exe นั้น เนื่องจากการใช้ utilman[.] exe ทำให้แฮกเกอร์สามารถกำหนดค่าแบ็คดอร์ผ่านตัว Image File Execution Options (IFEO) debugger ใน Registry Key ของ Windows แฮกเกอร์จะใช้ประโยชน์จาก IFEO Registry Key เพื่อเรียกใช้ไบนารี่ได้โดยไม่มีการตรวจสอบสิทธิ์และผ่านมาตรการรักษาความปลอดภัยบนระบบได้ แม้ว่าเหยื่อจะไม่มีซอฟต์แวร์ WinRAR หรือ 7-Zip แต่ไฟล์ SFX ก็ยังสามารถแตกไฟล์และแสดงเนื้อหาบนเครื่องของเหยื่อได้
คำแนะนำ
- ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ
- ควรให้ความสนใจเป็นพิเศษกับคลังข้อมูล SFX
- ควรสแกนไฟล์ SFX Archives เพื่อหาฟังก์ชันที่ซ่อนอยู่เพิ่มเติม
- ไม่ควรดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
Ref: https://cyware.com/news/hackers-hide-backdoors-behind-malicious-self-extracting-archives-345b1e28