WinRAR/7-Zip アーカイブに仕込まれたトリック:検出を回避して PowerShell などを実行

WinRAR SFX archives can run PowerShell without being detected

2023/04/03 BleepingComputer — 脅威アクターたちは、WinRAR 自己解凍アーカイブを無害なファイルで偽装した上で、悪意の機能を追加することで、ターゲットシステムのセキュリティ・エージェントを起動させることなく、バックドアを仕掛けるようになってきた。WinRAR や 7-Zip などの圧縮ソフトウェアで作成される、自己解凍型アーカイブ (SFX:Self-extracting archives) は、基本的に、アーカイブされたデータと内蔵の解凍スタブ (データを解凍するためのコード) で構成される実行型のファイルである。そして、SFX ファイルには、不正なアクセスを防止するためのパスワードが設定されている。


SFX ファイルの目的は、パッケージを抽出するユーティリティを持っていないユーザーへ向けた、アーカイブ・データの配布を簡素化することだ。サイバー・セキュリティ企業である CrowdStrike の研究者たちは、最近のインシデント・レスポンス調査で、SFX の悪用を発見した。

Password-protected SFX created with 7-Zip
7-Zip で作成され、パスワードで保護された SFX
source: CrowdStrike
野放し状態の SFX 攻撃

Crowdstrike の分析によると、盗み出した認証情報を使って utilman.exe を悪用し、前もってシステムに仕込んだパスワードで保護される SFX ファイルを、起動するように設定した脅威アクターがいるようだ。utilman は、ユーザーのログイン前に実行できるアクセシビリティ・アプリケーションで、脅威アクターがシステム認証をバイパスするために悪用される。

The utilman tool on login screen
ログイン画面に表示される utilman ツール
source: CrowdStrike

utilman.exe によりトリガーされる、この悪意の SFX ファイルはパスワードで保護されており、オトリとして機能する空のテキスト・ファイルも取り込んでいる。この SFX ファイルの本当の狙いは、WinRAR のセットアップ・オプションを悪用することで、システム特権により PowerShell/Windows コマンド・プロンプト (cmd.exe)/タスク・マネージャーなどを実行させることにある。

CrowdStrike の Jai Minton は、アーカイブされたテキスト・ファイルを、ターゲットが解凍した後に実行される複数のコマンドが、攻撃者により追加されていることを発見した。このアーカイブにはマルウェアは含まれていないが、システムのバックドアを開く SFX アーカイブを作成するためのコマンドが、脅威アクターによりセットアップ・メニューの下に追加されている。

SFX archive backdoor from WinRAR setup commands
WinRAR SFX のセットアップでバックドア・アクセスを可能にするコマンド
source: CrowdStrike

上記のイメージが示すのは、攻撃者が SFX アーカイブをカスタマイズして、抽出プロセスの最中にダイアログやウィンドウが表示されないようにしている状況である。また、この脅威アクターは、PowerShell/コマンド・プロンプト/タスク・マネージャーを実行するための指示も追加している。

WinRAR には高度な SFX オプションが用意されており、プロセスの前後に自動的に実行するファイル・リストの追加や、保存先フォルダに同名のファイルが存在する場合の上書きなどが指定できる。

Crowdstrike は、「この SFX アーカイブはログオン画面から実行できるため、脅威アクターが正しいパスワードを持っていれば、PowerShell/Windows コマンド・プロンプト/タスク・マネージャーを、NT AUTHORITYSYSTEM 権限で実行するためにアクセスが可能な、持続的なバックドアを持っていることになる」と説明している。

さらに、研究者たちは、「この種の攻撃は、SFX アーカイブの解凍スタブからの挙動を検出せずに、アーカイブ (パスワードで保護されていることも多い) 内部のマルウェアを探し出そうとする、従来からのアンチウイルス・ソフトウェアを回避する可能性が高い」と付け加えている。

Observed attack chain
観測された攻撃チェーン
source: CrowdStrike

Crowdstrike は、悪意の SFX ファイルが、従来の AV ソリューションで捕捉される可能性が低いと主張している。彼らが実施したテストでは、抽出後に PowerShell を実行するようにカスタマイズされた SFX アーカイブを作成すると、Windows Defender が反応した。

Microsoft のセキュリティ・エージェントは、作成された実行ファイルを Wacatac として追跡される悪意のスクリプトとして検出/隔離した。しかし、この反応は一度しか記録されておらず、再現することはなかった。

研究者たちは、SFX アーカイブに特に注意を払い、適切なソフトウェアを使用してアーカイブの内容を確認し、抽出時に実行される予定の潜在的なスクリプト/コマンドを探すよう、ユーザーに忠告している。

WinRAR や 7-Zip などの圧縮ソフトウェアで作成される、自己解凍型アーカイブ SFX を悪用する攻撃が観測されているようです。数多くのユーザーが、いろんな局面で多用するツールだけに、とても心配な状況です。2022/06/21 の「7-zip のセキュリティが強化:インターネットからのファイルに Mark-of-the-Web 識別子を付与」が参考になると思いますが、気をつけなくてはいけませんね。

%d bloggers like this: