Geçmişte, paketlenmiş, kendi kendine açılan arşivler genellikle kötü amaçlı yazılım içeriyordu. Crowdstrike'a göre, yeni bir dolandırıcılık şunu gösteriyor: kendi kendine açılan arşivler herhangi bir kötü amaçlı yazılım içermez, ancak Windows'ta açıldığında komutları yürütür ve bu kötü amaçlı yazılım daha sonra yakalayabilir - Crowdstrike'a göre.
Şirketlerdeki birçok çalışan, büyük dosyaların e-posta yoluyla daha hızlı taşınabilmesi için ZIP, 7zip veya WinRAR gibi bir paketleyiciye güvenir. Kendi kendine açılan arşivler iş dünyasında da popülerdir. Arşivler bir EXE dosyasıdır ve bir tıklama ile açılabilir. Örneğin, Outlook bir EXE dosyası içeren posta eklerini engellese bile, bir ZIP dosyasının bir EXE dosyasına eklenmesine izin verir. İyi tarayıcılar, çift paketli arşivlerde de kötü amaçlı yazılımı tespit etti. Sonuç olarak, saldırganlar artık şüphelenmeyen çalışanları tuzağa düşürmenin yeni yollarını buluyor.
Emotet şifreli arşivler kullanır
Emotet'te kullanıcılara zararsız tuzak dosyaları içeren bir arşiv ve şifreli başka bir arşiv gönderildi. Şifreli kısım genellikle incelenemediği için tarama yalnızca zararsız dosyaları ortaya çıkardı. Arşivdeki gizli parametreler ve komutlar görünmez. Kendi kendine açılan arşiv artık açılmışsa, araç paketlenmiş dosyaları yazar ve ikinci, şifrelenmiş arşivi başlatır. Parola daha sonra parametreler aracılığıyla bu arşive iletilir ve Emotet dosyası paketten çıkarılır ve yürütülür.
Komuta zinciri ile arşivler
Kendi kendine ayıklanan bir arşiv (kısaca SFX) bir tıklama ile yürütülürse, içerik çıkarılır. Örneğin, sisteme kötü amaçlı yazılım yazılırsa, bir uç nokta güvenlik çözümü genellikle onu güvenilir bir şekilde savuşturur. Ancak: Crowdstrike tarafından bulunan arşivlerde kötü amaçlı yazılım yoktur. Bunun yerine, SFX dosyaları, onlara oldukça düzenli olarak verebileceğiniz bir komut zinciri yürütür. Kaydedilen bir durumda, bir parametre aracılığıyla Windows'a bir kayıt defteri anahtarı geçirildi. Bu, standart bir yönetici hesabından daha yüksek haklara sahip komutları çalıştırmanın mümkün olduğu anlamına geliyordu.
Crowdstrike, bu tuzakların pratikte nasıl çalıştığını bir blog gönderisinde kaydetti ve vahşi doğada bulunan örneklerin tek tek tuzaklarını açıklıyor.
Daha fazlası Crowdstrike.com'da
CrowdStrike Hakkında Küresel bir siber güvenlik lideri olan CrowdStrike Inc., iş yüklerini ve uç noktaları korumak için yeniden tasarlanmış platformuyla bulut çağında güvenliği yeniden tanımlıyor. CrowdStrike Falcon® platformunun yalın, tek aracılı mimarisi, kuruluş çapında koruma ve görünürlük için bulut ölçeğinde yapay zekadan yararlanır. Bu, hem ağın içindeki hem de dışındaki uç cihazlara yönelik saldırıları önler. CrowdStrike Falcon, tescilli CrowdStrike Threat Graph®'ı kullanarak dünya çapında günlük ve gerçek zamanlı olarak yaklaşık 1 trilyon uç nokta ile ilgili olayı ilişkilendirir. Bu, CrowdStrike Falcon platformunu dünyanın en gelişmiş siber güvenlik veri platformlarından biri yapar.