ผู้ไม่ประสงค์ดีเพิ่มฟังก์ชันการทำงานที่เป็นอันตรายลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX ลงไปเพื่อทำการติดตั้งแบ็คดอร์บนระบบของเป้าหมาย ซึ่งวิธีการนี้ส่งผลให้ผู้ไม่ประสงค์ดีสามารถหลบเลี่ยงการตรวจจับได้ โดยไฟล์ SFX จะมีไฟล์สำหรับเรียกใช้ PowerShell และตัวจัดการสิทธิ์การเข้าถึงของระบบ
การโจมตีเริ่มต้นจากผู้ไม่ประสงค์ดีจะทำการฝังไฟล์ SFX ที่เข้ารหัสไว้ผ่าน WinRAR หรือ 7-Zip จากนั้นผู้ไม่ประสงค์ดีจะเข้าถึงระบบของเป้าหมายโดยการ compromised credentials และการใช้ Utility Manager (utilman[.] exe) ที่ถูกตั้งค่าให้กำหนดค่า debugger ใน Windows Registry ที่เป็นโปรแกรมเฉพาะ โดยจะเริ่มทำการ debug อัตโนมัติทุกครั้งที่เปิดโปรแกรม ต่อมาที่ utilman[.] exe จะเรียกใช้ไฟล์ SFX ที่ได้รับการออกแบบมาเพื่อเรียกใช้ PowerShell เพิ่มหลายคำสั่ง และสร้างไฟล์ SFX Archive เพื่อเปิดแบ็คดอร์บนระบบของเป้าหมาย
ภายในไฟล์ SFX จะดูเหมือนว่าว่างเปล่า ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมตรวจจับและผู้ดูแลระบบได้อย่างง่ายดาย แต่เมื่อไฟล์ SFX ได้ทำการ Combined เข้ากับ Registry Key เฉพาะ แล้วนั้นอาจทำให้ผู้ไม่ประสงค์ดีสร้างแบ็คดอร์อย่างถาวรบนระบบของเป้าหมายได้
เหตุผลที่ผู้ไม่ประสงค์ดีเลือกใช้ utilman[.] exe นั้น เนื่องจากการใช้ utilman[.] exe ทำให้ผู้ไม่ประสงค์ดีสามารถกำหนดค่าแบ็คดอร์ผ่านตัว Image File Execution Options (IFEO) debugger ใน Registry Key ของ Windows ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จาก IFEO Registry Key เพื่อเรียกใช้ไบนารี่ได้โดยไม่มีการตรวจสอบสิทธิ์และผ่านมาตรการรักษาความปลอดภัยบนระบบได้ แม้ว่าเป้าหมายจะไม่มีซอฟต์แวร์ WinRAR หรือ 7-Zip แต่ไฟล์ SFX ก็ยังสามารถแตกไฟล์และแสดงเนื้อหาบนเครื่องของเป้าหมายได้
คำแนะนำ
- ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ
- ควรให้ความสนใจเป็นพิเศษกับคลังข้อมูล SFX
- ควรสแกนไฟล์ SFX Archives เพื่อหาฟังก์ชันที่ซ่อนอยู่เพิ่มเติม
- ไม่ควรดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
Ref : cyware
ไม่มีความคิดเห็น:
แสดงความคิดเห็น