Wie Cyberkriminelle per SFX-Archive heimlich Hintertüren einbauen
von Tina Siering
Raffinierter Angriffsvektor umgeht herkömmliche Antivirensoftware
Cyberkriminelle missbrauchen SFX-Archive (Self-Extracting Archives), um unerkannt eine Hintertür in der Opferumgebung zu installieren und PowerShell auszuführen.
SFX-Archive (Self-Extracting Archive) ist ein Datenarchiv, das als ausführbare Datei ausgelegt ist und zu diesem Zweck einen sogenannten Dekompressor-Stub (einen kurzen Programmcode) enthält. Es wird daher keine spezielle Software, wie z. B. WinRAR oder 7-ZIP, um die komprimierte Datei zu entpacken. Häufig dienen sie zur Programminstallation.
Bei einer Analyse entdeckte das Sicherheitsteam von CrowdStrike eine passwortgeschützte SFX-Datei, die von Angreifern auf dem System eines Opfers platziert wurde. Sie enthielt keinen Schadcode, sondern lediglich eine leere Textdatei. Ihre eigentliche Funktion bestand darin, über integrierte SFX-Skriptbefehle die Setup-Optionen von WinRAR zu missbrauchen.
In der Folge wurden PowerShell, Windows Eingabeaufforderung (cmd.exe) und der Task-Manager (mit Systemprivilegien) ausführt und die Datei automatisch extrahiert, ohne dass ein Dialogfeld oder Fenster angezeigt wurde.
Quelle: bleepingcomputer.com
Obwohl das Archiv keine Malware enthielt, war es dem Angreifer gelungen, durch hinzugefügte Befehle im Setup-Menü ein SFX-Archive zu erstellen, welches eine Backdoor im angegriffenen System installierte.
Abbildung Angriffskette
Quelle: bleepingcomputer
Diese Art von Angriff wird durch herkömmliche Antivirensoftware in der Regeln nicht erkannt, da diese auf das Auffinden von Schadcode in Archiven fokussiert ist, nicht aber auf das Verhalten eines SFX-Archiv-Dekompressor-Stubs.
Handlungsempfehlungen:
- Um sich zu schützen, sollten Benutzer bei SFX-Archiven immer besondere Vorsicht walten lassen und spezielle Software verwenden, um den Inhalt des Archivs auf ausführbare Skripte oder Befehle zu überprüfen.
WinRAR bietet z.B. eine Reihe erweiterter SFX-Optionen, die es ermöglichen, eine Liste von automatisch ausführbaren Dateien hinzuzufügen, bspw. um vorhandene Dateien im Zielordner zu überschreiben, wenn Einträge mit dem gleichen Namen vorhanden sind. - Überprüfen Sie nicht nur Content eines SFX-Archives, sondern auch die vom SFX-Archiv-Dekompressor-Stub bereitgestellten Funktionen, um ggf. versteckte Befehle frühzeitig zu erkennen.
- Sollten Sie ein SFX-Archive erhalten, das eine Null-Byte-Datei enthält so ist besonderes Vorsicht geboten. Überprüfen sie es auf zusätzliche Funktionen und verwenden Sie Packprogramme zur Dekompression.