WinRAR曝新威胁，黑客可直接运行PowerShell

Bleeping Computer 网站披露 ，曝新某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能，威胁这些档案包含无害的黑客诱饵文件，使其能够在不触发目标系统上安全代理的可直情况下设置后门。

用 WinRAR 或 7-Zip 等压缩软件创建的接运自解压档案（SFX）本质上是包含归档数据的可执行文件 ，以及一个内置解压存根（解压数据的曝新代码），对这些文件的威胁访问可以有密码保护，以防止未经授权的黑客访问。（SFX 文件目的模板下载可直是为了简化向没有提取软件包的用户分发存档数据的过程。）

使用7-Zip创建受密码保护的接运SFX （来源：CrowdStrike）

然而 ，网络安全公司 CrowdStrike 的曝新研究人员在最近的一次事件响应调查中发现了 SFX 滥用。

野外发现 SFX 攻击

Crowdstrike 发现了一个网络犯罪分子使用窃取来的威胁凭据滥用“utilman.exe”，将其设置为启动一个受密码保护的黑客 SFX 文件 ，并且该文件之前已植入系统。可直 （Utilman 是接运一种可访问性应用程序，免费模板可以在用户登录之前执行
，经常被黑客滥用以绕过系统身份验证。）

登录屏幕上的 utilman 工具 （来源：CrowdStrike）

utilman.exe 触发的 SFX 文件不仅受密码保护，而且包含一个用作诱饵的空文本文件
。SFX  文件的真正功能是滥用 WinRAR 的设置选项，以系统权限运行 PowerShell、Windows 命令提示符（cmd.exe）和任务管理器 。

CrowdStrike 的研究人员仔细研究了其中的技术细节 ，亿华云发现攻击者在目标提取存档的文本文件后添加了多个命令来运行。虽然档案中没有恶意软件，但威胁攻击者在设置菜单下添加了创建 SFX 档案的命令，该档案可能成为“打开”目标系统的后门。

WinRAR SFX 设置中允许后门访问的命令 （来源：CrowdStrike）

如上图所示 ，注释显示在攻击者自定义 SFX 存档后
，在提取过程中不会显示任何对话框和窗口。此外，威胁攻击者还添加了运行 PowerShell 、命令提示符和任务管理器的指令。WinRAR 提供了一组高级 SFX 选项，建站模板允许添加一个可执行文件列表 ，以便在进程之前或之后自动运行 ，如果存在同名条目，还可以覆盖目标文件夹中的现有文件。

Crowdstrike 解释说因这个 SFX 档案可以从登录屏幕上运行，所以攻击者实际上有个持久后门
，只要提供了正确的密码，就可以访问它来运行 PowerShell 、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 权限的任务管理器。

研究人员进一步强调，传统的反病毒软件很可能无法检测到这种类型的攻击
，源码下载毕竟检测软件只在档案（通常也有密码保护）中寻找恶意软件，而不是 SFX 档案解压缩器存根的行为
。

观察到的攻击链 （来源：CrowdStrike）

Crowdstrike 声称，恶意的 SFX 文件不太可能被传统恶意软件解决方案捕获 。在测试过程中 ，安全人员创建了一个自定义的 SFX 存档以提取后运行 PowerShell 时
，Windows Defender 做出了反应，然而，仅仅只记录了一次这种反应，无法复制 。

最后，源码库研究人员建议用户应特别注意 SFX 档案 ，并使用适当的软件检查档案的内容 。