Peretas menambahkan fungsionalitas berbahaya ke arsip yang mengekstrak sendiri WinRAR yang berisi file pemikat yang tidak berbahaya, memungkinkan mereka menanam pintu belakang tanpa memicu agen keamanan pada sistem target.
Self-extracting archives (SFX) yang dibuat dengan perangkat lunak kompresi seperti WinRAR atau 7-Zip pada dasarnya adalah executable yang berisi data yang diarsipkan bersama dengan rintisan dekompresi bawaan (kode untuk membongkar data). Akses ke file-file ini dapat dilindungi kata sandi untuk mencegah akses yang tidak sah.
Tujuan file SFX adalah untuk menyederhanakan distribusi data yang diarsipkan kepada pengguna yang tidak memiliki utilitas untuk mengekstrak paket.
sumber: CrowdStrike
Para peneliti di perusahaan keamanan siber CrowdStrike melihat penyalahgunaan SFX selama penyelidikan tanggapan insiden baru-baru ini.
Serangan SFX di alam liar
Analisis Crowdstrike menemukan musuh yang menggunakan kredensial curian untuk menyalahgunakan ‘utilman.exe’ dan mengaturnya untuk meluncurkan file SFX yang dilindungi kata sandi yang telah ditanam di sistem sebelumnya.
Utilman adalah aplikasi aksesibilitas yang dapat dijalankan sebelum pengguna masuk, sering disalahgunakan oleh peretas untuk mem-bypass otentikasi sistem.
sumber: CrowdStrike
File SFX yang dipicu oleh utilman.exe dilindungi kata sandi dan berisi file teks kosong yang berfungsi sebagai umpan.
Fungsi sebenarnya dari file SFX adalah untuk menyalahgunakan opsi pengaturan WinRAR untuk menjalankan PowerShell, prompt perintah Windows (cmd.exe), dan pengelola tugas dengan hak istimewa sistem.
Melihat lebih dekat pada teknik yang digunakan, Jai Minton dari CrowdStrike menemukan bahwa penyerang telah menambahkan beberapa perintah untuk dijalankan setelah target mengekstrak file teks yang diarsipkan.
Meskipun tidak ada malware di dalam arsip, pelaku ancaman menambahkan perintah di bawah menu pengaturan untuk membuat arsip SFX yang akan membuka pintu belakang pada sistem.
sumber: CrowdStrike
Seperti yang terlihat pada gambar di atas, komentar menunjukkan bahwa penyerang menyesuaikan arsip SFX sehingga tidak ada dialog dan jendela yang ditampilkan selama proses ekstraksi. Pelaku ancaman juga menambahkan instruksi untuk menjalankan PowerShell, command prompt, dan task manager.
WinRAR menawarkan serangkaian opsi SFX lanjutan yang memungkinkan penambahan daftar executable untuk dijalankan secara otomatis sebelum atau sesudah proses, serta menimpa file yang ada di folder tujuan jika ada entri dengan nama yang sama.
“Karena arsip SFX ini dapat dijalankan dari layar masuk, musuh secara efektif memiliki pintu belakang persisten yang dapat diakses untuk menjalankan PowerShell, prompt perintah Windows, dan pengelola tugas dengan hak istimewa NT AUTHORITY\SYSTEM, selama kata sandi yang benar diberikan, ” menjelaskan Crowdstrike.
“Jenis serangan ini cenderung tetap tidak terdeteksi oleh perangkat lunak antivirus tradisional yang mencari malware di dalam arsip (yang seringkali juga dilindungi kata sandi) daripada perilaku dari rintisan dekompresor arsip SFX,” tambah para peneliti.
sumber: CrowdStrike
Crowdstrike mengklaim bahwa file SFX berbahaya tidak mungkin tertangkap oleh solusi AV tradisional. Dalam pengujian kami, Windows Defender bereaksi saat kami membuat arsip SFX yang disesuaikan untuk menjalankan PowerShell setelah ekstraksi.
Agen keamanan Microsoft mendeteksi hasil eksekusi sebagai skrip berbahaya yang dilacak sebagai Wacatac dan mengarantinakannya. Namun, kami merekam reaksi ini hanya sekali dan tidak dapat mengulanginya.
Para peneliti menyarankan pengguna untuk memberikan perhatian khusus pada arsip SFX dan menggunakan perangkat lunak yang sesuai untuk memeriksa konten arsip dan mencari skrip atau perintah potensial yang dijadwalkan untuk dijalankan setelah ekstraksi.
