Bleeping Computer 网站披露,某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能,这些档案包含无害的诱饵文件,使其能够在不触发目标系统上安全代理的情况下设置后门。

用 WinRAR 或 7-Zip 等压缩软件创建的自解压档案(SFX)本质上是包含归档数据的可执行文件,以及一个内置解压存根(解压数据的代码),对这些文件的访问可以有密码保护,以防止未经授权的访问。(SFX 文件目的是为了简化向没有提取软件包的用户分发存档数据的过程。)

使用7-Zip创建受密码保护的SFX (来源:CrowdStrike)

然而,网络安全公司 CrowdStrike 的研究人员在最近的一次事件响应调查中发现了 SFX 滥用。

野外发现 SFX 攻击

Crowdstrike 发现了一个网络犯罪分子使用窃取来的凭据滥用“utilman.exe”,将其设置为启动一个受密码保护的 SFX 文件,并且该文件之前已植入系统。(Utilman 是一种可访问性应用程序,可以在用户登录之前执行,经常被黑客滥用以绕过系统身份验证。)

登录屏幕上的 utilman 工具 (来源:CrowdStrike)

utilman.exe 触发的 SFX 文件不仅受密码保护,而且包含一个用作诱饵的空文本文件。SFX 文件的真正功能是滥用 WinRAR 的设置选项,以系统权限运行 PowerShell、Windows 命令提示符(cmd.exe)和任务管理器。

CrowdStrike 的研究人员仔细研究了其中的技术细节,发现攻击者在目标提取存档的文本文件后添加了多个命令来运行。虽然档案中没有恶意软件,但威胁攻击者在设置菜单下添加了创建 SFX 档案的命令,该档案可能成为“打开”目标系统的后门。

WinRAR SFX 设置中允许后门访问的命令 (来源:CrowdStrike)

如上图所示,注释显示在攻击者自定义 SFX 存档后,在提取过程中不会显示任何对话框和窗口。此外,威胁攻击者还添加了运行 PowerShell、命令提示符和任务管理器的指令。WinRAR 提供了一组高级 SFX 选项,允许添加一个可执行文件列表,以便在进程之前或之后自动运行,如果存在同名条目,还可以覆盖目标文件夹中的现有文件。

Crowdstrike 解释说因这个 SFX 档案可以从登录屏幕上运行,所以攻击者实际上有个持久后门,只要提供了正确的密码,就可以访问它来运行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 权限的任务管理器。

研究人员进一步强调,传统的反病毒软件很可能无法检测到这种类型的攻击,毕竟检测软件只在档案(通常也有密码保护)中寻找恶意软件,而不是 SFX 档案解压缩器存根的行为。

观察到的攻击链 (来源:CrowdStrike)

Crowdstrike 声称,恶意的 SFX 文件不太可能被传统恶意软件解决方案捕获。在测试过程中,安全人员创建了一个自定义的 SFX 存档以提取后运行 PowerShell 时,Windows Defender 做出了反应,然而,仅仅只记录了一次这种反应,无法复制。

最后,研究人员建议用户应特别注意 SFX 档案,并使用适当的软件检查档案的内容。

影响上千万网站,WordPress插件曝高危漏洞

黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞,该插件已被超过1200万个网站使用。

Elementor Pro是一款WordPress页面构建器插件,允许用户轻松构建专业外观的网站而无需了解编码知识,具有拖放、主题构建、模板集合、自定义小部件支持以及面向在线商店的WooCommerce构建器等功能。

这个漏洞是由NinTechNet研究员Jerome Bruandet于2023年3月18日发现的,并在本周分享了关于如何利用与WooCommerce一起安装时可以利用此漏洞的技术细节。

该漏洞影响v3.11.6及其之前的所有版本,允许像商店客户或网站成员这样的经过身份验证的用户更改网站设置甚至完全接管网站。

经过身份验证的攻击者可以利用此漏洞创建管理员帐户,方法是启用注册并将默认角色设置为’管理员’、更改管理员电子邮件地址或通过更改siteurl将所有流量重定向到外部恶意网站等多种可能性。

需要注意的是,要利用这个特定漏洞,网站上还必须安装WooCommerce插件,才能激活Elementor Pro上相应的易受攻击模块。Elementor插件漏洞正在被积极利用 WordPress安全公司PatchStack现在报告称黑客正在积极利用这个Elementor Pro插件漏洞将访问者重定向到恶意域名(”away[.]trackersline[.]com”)或上传后门到被攻击的网站中。

此后门将允许攻击者完全访问WordPress网站,无论是窃取数据还是安装其他恶意代码。PatchStack表示,大多数针对易受攻击的网站的攻击来自以下三个IP地址,建议将它们添加到阻止列表中:193.169.194.63、193.169.195.64和194.135.30.6。如果您的网站使用Elementor Pro,则必须尽快升级到3.11.7或更高版本(最新版本为3.12),因为黑客已经开始针对易受攻击的网站进行攻击。