Önkicsomagoló tömörített fájlokba rejtett kártékony kódok
A CrowdStrike Falcon OverWatch kutatói nemrégiben egy látszólag üres önkicsomagoló tömörített (Self-extracting archives – SFX) fájlt vizsgáltak egy interaktív behatolás részeként. A mélyrehatóbb vizsgálat feltárta, hogy ez a fájl – amelyet a eseménykezelők könnyen figyelmen kívül hagyhattak – képes volt tartós hátsó ajtót biztosítani a támadóknak az áldozat környezetébe, ha egy adott regisztrációs kulccsal párosul. A Crowdstrike elemzése felfedezett egy támadót, aki lopott hitelesítő adatokkal visszaélt az „utilman.exe” fájllal, és beállította, hogy elindítson egy jelszóval védett SFX fájlt, amelyet korábban telepítettek a rendszerre. Az Utilman egy akadálymentesítési alkalmazás, amely a felhasználó bejelentkezése előtt futtatható, és a hackerek gyakran visszaélnek vele, hogy megkerüljék a rendszer hitelesítését.
A támadó testreszabta az SFX tömörített fájlt, így nem jelent meg párbeszédpanel és ablak a kibontási folyamat során. A fenyegetés szereplője utasításokat adott a PowerShell, a parancssor és a feladatkezelő futtatásához is. A WinRAR és az 7-Zip is fejlett SFX-beállításokat kínál, amelyek lehetővé teszik a végrehajtható fájlok listájának hozzáadását, amelyek automatikusan futnak a folyamat előtt vagy után, valamint felülírhatják a célmappában lévő meglévő fájlokat, ha vannak azonos nevű bejegyzések.