 |
Los piratas informáticos están añadiendo funciones maliciosas a los archivos autoextraíbles WinRAR que contienen archivos señuelo inofensivos, lo que les permite plantar puertas traseras sin activar el agente de seguridad en el sistema de destino. Los archivos autoextraíbles (SFX) creados con software de compresión como WinRAR o 7-Zip son básicamente ejecutables que contienen datos archivados junto con un stub de descompresión incorporado (el código para descomprimir los datos). El acceso a estos archivos puede protegerse con contraseña para evitar accesos no autorizados. |
La finalidad de los archivos SFX es simplificar la distribución de datos archivados a los usuarios que no disponen de una utilidad para extraer el paquete.
SFX protegidos por contraseña creados con 7-Zip Fuente: CrowdStrike
Los investigadores de la empresa de ciberseguridad CrowdStrike detectaron el abuso de SFX durante una reciente investigación de respuesta a incidentes.
Ataques SFX en internet
El análisis de Crowdstrike descubrió a un adversario que utilizaba credenciales robadas para abusar de 'utilman.exe' y configurarlo para lanzar un archivo SFX protegido por contraseña que había sido plantado en el sistema previamente.
Utilman es una aplicación de accesibilidad que puede ejecutarse antes del inicio de sesión del usuario, de la que a menudo abusan los hackers para saltarse la autenticación del sistema.
El archivo SFX activado por utilman.exe está protegido por contraseña y contiene un archivo de texto vacío que sirve de señuelo.
La función real del archivo SFX es abusar de las opciones de configuración de WinRAR para ejecutar PowerShell, el símbolo del sistema de Windows (cmd.exe) y el administrador de tareas con privilegios del sistema.
Al examinar más de cerca la técnica utilizada, Jai Minton de CrowdStrike descubrió que el atacante había añadido varios comandos para ejecutar después de que el objetivo extrajera el archivo de texto archivado.
Aunque no hay malware en el archivo, los atacantes añadieron comandos en el menú de configuración para crear un archivo SFX que abriría una puerta trasera en el sistema.
Comandos en la configuración de WinRAR SFX que permiten el acceso de puerta trasera Fuente: CrowdStrike
Como se ve en la imagen de arriba, los comentarios muestran que el atacante personalizó el archivo SFX para que no aparezcan diálogos ni ventanas durante el proceso de extracción. Los atacantes también añadieron instrucciones para ejecutar PowerShell, el símbolo del sistema y el administrador de tareas.
WinRAR ofrece un conjunto de opciones SFX avanzadas que permiten añadir una lista de ejecutables para que se ejecuten automáticamente antes o después del proceso, así como sobrescribir archivos existentes en la carpeta de destino si existen entradas con el mismo nombre.
"Como este archivo SFX podía ejecutarse desde la pantalla de inicio de sesión, el adversario disponía efectivamente de una puerta trasera persistente a la que podía acceder para ejecutar PowerShell, el símbolo del sistema de Windows y el administrador de tareas con privilegios de AUTORIDAD DEL SISTEMA NT, siempre que se proporcionara la contraseña correcta", explica Crowdstrike.
"Es probable que este tipo de ataque no sea detectado por el software antivirus tradicional que busca malware dentro de un archivo (que a menudo también está protegido por contraseña) en lugar del comportamiento de un stub descompresor de archivos SFX", añaden los investigadores.
Cadena de ataque observada Fuente: CrowdStrike
Crowdstrike afirma que es poco probable que las soluciones antivirus tradicionales detecten los archivos SFX maliciosos. En nuestras pruebas, Windows Defender reaccionó cuando creamos un archivo SFX personalizado para ejecutar PowerShell tras la extracción.
El agente de seguridad de Microsoft detectó el ejecutable resultante como un script malicioso rastreado como Wacatac y lo puso en cuarentena. Sin embargo, sólo registramos esta reacción una vez y no pudimos reproducirla.
Los investigadores aconsejan a los usuarios que presten especial atención a los archivos SFX y utilicen el software adecuado para comprobar el contenido del archivo y buscar posibles scripts o comandos programados para ejecutarse tras la extracción.