У минулому запаковані архіви, що саморозпаковуються, часто містили зловмисне програмне забезпечення. Нове шахрайство показує: архіви, що саморозпаковуються, не містять зловмисного програмного забезпечення, але виконують команди, коли їх відкривають у Windows, які зловмисне програмне забезпечення потім може наздогнати - згідно з Crowdstrike.
Багато співробітників у компаніях покладаються на такі пакувальники, як ZIP, 7zip або WinRAR, щоб великі файли можна було швидше транспортувати електронною поштою. Архіви, що саморозпаковуються, також популярні в діловому світі. Архіви є файлом EXE, і їх можна розпакувати одним клацанням миші. Наприклад, навіть якщо Outlook блокує вкладення електронної пошти за допомогою файлу EXE, він все одно дозволяє підключати файл ZIP до файлу EXE. Хороші сканери також виявили зловмисне програмне забезпечення в подвійно запакованих архівах. У результаті зловмисники тепер знаходять нові способи зловити нічого не підозрюючих співробітників.
Emotet використовує зашифровані архіви
У Emotet користувачам було надіслано архів із нешкідливими файлами-приманками та інший, але зашифрований архів. Сканування виявило лише нешкідливі файли, оскільки зашифровану частину часто неможливо перевірити. Приховані параметри та команди в архіві не видно. Якщо архів, що саморозпаковується, зараз розпаковано, інструмент записує запаковані файли та запускає другий, зашифрований архів. Потім пароль передається до цього архіву через параметри, а файл Emotet розпаковується та виконується.
Архіви з підпорядкуванням
Якщо архів, що саморозпаковується (скорочено SFX), запускається клацанням миші, вміст розпаковується. Якщо, наприклад, зловмисне програмне забезпечення потім записується в систему, рішення безпеки кінцевої точки зазвичай надійно захищає його. Але: в архівах, знайдених Crowdstrike, шкідливих програм немає. Натомість файли SFX виконують ланцюжок команд, які ви можете надавати їм досить регулярно. В одному зафіксованому випадку ключ реєстру було передано Windows через параметр. Тоді це означало, що можна було запускати команди з вищими правами, ніж у стандартного облікового запису адміністратора.
Crowdstrike записав, як ці пастки працюють на практиці, у дописі в блозі та пояснює окремі пастки для прикладів, знайдених у дикій природі.
Більше на Crowdstrike.com
Про CrowdStrike CrowdStrike Inc., світовий лідер у сфері кібербезпеки, переосмислює безпеку в епоху хмарних технологій за допомогою оновленої платформи для захисту робочих навантажень і кінцевих точок. Економна одноагентна архітектура платформи CrowdStrike Falcon® використовує штучний інтелект у хмарному масштабі для захисту та видимості в масштабах підприємства. Це запобігає атакам на кінцеві пристрої як у мережі, так і поза нею. Використовуючи власний CrowdStrike Threat Graph®, CrowdStrike Falcon щодня та в режимі реального часу корелює приблизно 1 трильйон подій, пов’язаних із кінцевими точками, у всьому світі. Це робить платформу CrowdStrike Falcon однією з найдосконаліших у світі платформ даних кібербезпеки.