探索网络安全新技术
攀登黑客技术最高峰

WinRAR安全漏洞:黑客可远程运行PowerShell获得系统访问权限

据 Bleeping Computer 网站报道,最近出现了一种新的网络犯罪行为,即将恶意代码添加到 WinRAR 自解压档案中。这些档案看起来都是无害的诱饵文件,但却能在不触发目标系统上安全代理的情况下设置后门。这种攻击手段利用了 WinRAR 或 7-Zip 等压缩软件创建的自解压档案(SFX)的本质,即将归档数据和内置解压存根(解压数据的代码)组合成可执行文件。这些文件的访问可以有密码保护,以防止未经授权的访问,但这并不能完全保障安全。

据 CrowdStrike 公司的研究人员指出,这种攻击手段是很常见的,而且相对容易进行,因此需要引起我们的高度重视。黑客可以利用这种攻击手段直接运行 PowerShell,然后在目标系统上执行任意代码。这样做可以极大地损害目标计算机和网络的安全,可能导致数据泄露、系统崩溃等严重后果。

WinRAR安全漏洞:黑客可远程运行PowerShell获得系统访问权限-威武网安

为了保障计算机和网络的安全,我们需要采取一些措施。首先,要确保所有压缩软件都是最新版本,以最大程度地减少漏洞和安全隐患。其次,尽量避免下载和打开未知来源的 SFX 文件,以防止恶意代码的入侵。此外,我们还可以使用病毒扫描软件来检查下载的文件是否安全,以保障计算机的安全。

这种攻击手段需要引起我们的高度重视,我们需要加强安全意识教育,提高对网络安全威胁的认识,同时也需要采取适当的安全措施,以确保计算机和网络的安全。

CrowdStrike 公司的研究人员还发现,某些网络犯罪分子利用窃取来的凭据滥用了 Windows 操作系统中的“utilman.exe”,将其设置为启动一个受密码保护的 SFX 文件,而该文件在之前已经被植入了目标系统中。

WinRAR安全漏洞:黑客可远程运行PowerShell获得系统访问权限-威武网安

“Utilman.exe”是一种可访问性应用程序,可以在用户登录之前执行,通常用于帮助用户解决无法登录的问题。但是,黑客可以通过更改“utilman.exe”的名称并替换为其他应用程序的方式滥用该程序,从而绕过系统身份验证,进入目标系统并进行攻击。

这种攻击手段的危害非常大,因为黑客可以使用受密码保护的 SFX 文件来植入恶意代码,从而获取目标系统的控制权,或者窃取敏感数据。因此,为了防范这种攻击,我们需要加强对系统中的安全隐患的监控,及时发现和解决可能存在的漏洞。

进一步研究发现,利用“utilman.exe”触发的 SFX 文件不仅受密码保护,而且包含一个用作诱饵的空文本文件。攻击者利用诱饵文件来欺骗用户,使其误以为该档案是安全的。在用户执行该文件时,SFX 文件的真正功能就会被启动。

CrowdStrike 研究人员进一步发现,攻击者滥用 WinRAR 的设置选项,以系统权限运行 PowerShell、Windows 命令提示符(cmd.exe)和任务管理器。这些工具可以让攻击者执行各种操作,如植入恶意软件、窃取敏感数据和控制目标系统等。

WinRAR安全漏洞:黑客可远程运行PowerShell获得系统访问权限-威武网安

攻击者在目标提取存档的文本文件后添加了多个命令来运行。尽管存档中没有恶意软件,但攻击者在设置菜单下添加了创建 SFX 档案的命令,该档案可能成为“打开”目标系统的后门,使攻击者随时可以进入系统进行攻击或窃取数据。

由此可见,这种攻击手段相当隐蔽,攻击者可以通过利用 WinRAR 的功能,滥用 Windows 操作系统的程序,使得目标系统中的恶意代码得以运行,并且这些恶意代码可以随时启动。

这起攻击事件揭示了黑客利用常用程序的漏洞进行攻击的方式。攻击者通过利用 Windows 操作系统中的 “utilman.exe” 以及 WinRAR 的高级 SFX 选项,实现了持久化的后门。在这种攻击中,攻击者可以在未授权的情况下访问系统,以执行恶意操作并窃取敏感信息。

Crowdstrike 的研究人员指出,由于传统的反病毒软件往往只会检测档案中的恶意软件,而不是解压缩器存根的行为,因此很难检测到这种攻击。而攻击者还可以通过添加诱饵文件等措施,混淆攻击的行踪,增加检测的难度。此外,攻击者利用 WinRAR 的设置选项可以在进程之前或之后自动运行,这使得攻击者可以更容易地将恶意代码插入系统,并通过后门持续访问系统。

WinRAR安全漏洞:黑客可远程运行PowerShell获得系统访问权限-威武网安

CrowdStrike的研究人员发现,攻击者利用了WinRAR的高级SFX选项来创建一个密码保护的SFX文件,并在其中添加了一个空文本文件作为诱饵。这个SFX文件的真正目的是利用WinRAR的设置选项,以系统权限运行PowerShell、命令提示符和任务管理器。攻击者通过添加创建SFX文件的命令,为目标系统留下了后门,这个后门可以在登录屏幕上运行,只要提供正确的密码,攻击者就可以访问它来运行命令。这种攻击方式很难被传统的反病毒软件检测到,因为它们通常只关注档案中的恶意软件,而不是SFX存根的行为。研究人员建议用户要注意SFX档案,并使用适当的软件检查档案的内容,以保护系统安全。

打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《WinRAR安全漏洞:黑客可远程运行PowerShell获得系统访问权限》
文章链接:https://www.wevul.com/292.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

文章推荐

如果文章对您有帮助 请不要吝啬 打赏一下小站

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册