Les pirates ajoutent des fonctionnalités malveillantes aux archives auto-extractibles de WinRAR qui contiennent des fichiers leurres inoffensifs, leur permettant de planter des portes dérobées sans déclencher l’agent de sécurité sur le système cible.
Les archives auto-extractibles (SFX) créées avec un logiciel de compression comme WinRAR ou 7-Zip sont essentiellement des exécutables qui contiennent des données archivées avec un talon de décompression intégré (le code pour décompresser les données). L’accès à ces fichiers peut être protégé par un mot de passe pour empêcher tout accès non autorisé.
Le but des fichiers SFX est de simplifier la distribution des données archivées aux utilisateurs qui ne disposent pas d’un utilitaire pour extraire le package.
Des chercheurs de la société de cybersécurité CrowdStrike ont repéré l’abus SFX lors d’une récente enquête sur la réponse à un incident.
Attaques SFX dans la nature
L’analyse de Crowdstrike a découvert un adversaire qui a utilisé des informations d’identification volées pour abuser de ‘utilman.exe’ et l’a configuré pour lancer un fichier SFX protégé par mot de passe qui avait été planté sur le système auparavant.
Utilman est une application d’accessibilité qui peut être exécutée avant la connexion de l’utilisateur, souvent abusée par les pirates pour contourner l’authentification du système.
Le fichier SFX déclenché par utilman.exe est protégé par un mot de passe et contient un fichier texte vide qui sert de leurre.
La véritable fonction du fichier SFX est d’abuser des options de configuration de WinRAR pour exécuter PowerShell, l’invite de commande Windows (cmd.exe) et le gestionnaire de tâches avec les privilèges système.
En examinant de plus près la technique utilisée, Jai Minton de CrowdStrike a découvert que l’attaquant avait ajouté plusieurs commandes à exécuter après que la cible avait extrait le fichier texte archivé.
Bien qu’il n’y ait pas de logiciel malveillant dans l’archive, l’acteur de la menace a ajouté des commandes dans le menu de configuration pour créer une archive SFX qui ouvrirait une porte dérobée sur le système.
Comme on le voit dans l’image ci-dessus, les commentaires montrent que l’attaquant a personnalisé l’archive SFX afin qu’aucune boîte de dialogue ni fenêtre ne s’affiche pendant le processus d’extraction. L’acteur de la menace a également ajouté des instructions pour exécuter PowerShell, l’invite de commande et le gestionnaire de tâches.
WinRAR propose un ensemble d’options SFX avancées qui permettent d’ajouter une liste d’exécutables à exécuter automatiquement avant ou après le processus, ainsi que d’écraser les fichiers existants dans le dossier de destination si des entrées portant le même nom existent.
«Parce que cette archive SFX pouvait être exécutée à partir de l’écran de connexion, l’adversaire disposait effectivement d’une porte dérobée persistante accessible pour exécuter PowerShell, l’invite de commande Windows et le gestionnaire de tâches avec les privilèges NT AUTHORITY \ SYSTEM, tant que le mot de passe correct était fourni, ” explique Crowdstrike.
« Ce type d’attaque est susceptible de ne pas être détecté par les logiciels antivirus traditionnels qui recherchent des logiciels malveillants à l’intérieur d’une archive (qui est souvent également protégée par un mot de passe) plutôt que le comportement d’un stub de décompresseur d’archive SFX », ajoutent les chercheurs.
Crowdstrike affirme qu’il est peu probable que les fichiers SFX malveillants soient détectés par les solutions AV traditionnelles. Lors de nos tests, Windows Defender a réagi lorsque nous avons créé une archive SFX personnalisée pour exécuter PowerShell après l’extraction.
L’agent de sécurité de Microsoft a détecté l’exécutable résultant comme un script malveillant suivi comme Wacatac et l’a mis en quarantaine. Cependant, nous n’avons enregistré cette réaction qu’une seule fois et n’avons pas pu la reproduire.
Les chercheurs conseillent aux utilisateurs de porter une attention particulière aux archives SFX et d’utiliser un logiciel approprié pour vérifier le contenu de l’archive et rechercher des scripts ou des commandes potentiels programmés pour s’exécuter lors de l’extraction.