Spider lab 研究者發現在 2022 年之初,利用密碼保護程式碼壓縮檔 (zip) ,已經成為了攻擊者常用於規避資安系統偵測的手法前三名。然而,此手法的限制在於駭客需要說服使用者輸入約定密碼後,方能執行。
Emotet Botnet 殭屍網路卻在此手法的限制之上,找到了突破口:在除了內含惡意程式的 zip 或是 iso 檔之外,還另外附加了一個 SFX RAR 文件。此 SFX RAR 經常透過使用 excel 或是 pdf 的 icon,取得使用者的信任,使使用者在點擊之後執行其子檔案。此 SFX RAR 檔案內部包含:
(1) batch 檔案- 協助其子檔案 (RARsfx 文件) 的執行
(2) RARsfx 文件- 受到密碼保護程式碼
(3) 圖片或是pdf檔案- 增加文件的可信度
#攻擊手法
其中,該 RARsfx 文件檔案雖然是受到密碼保護的文件,但是此類文件類型並不需要使用者輸入密碼才可以解鎖,且可以自行執行程式 script 指令。
以上三個檔案會被解壓縮至%AppData% 資料夾,在取代內部現有的文件後執行。batch 檔案協助 RARsfx 文件的執行,並內含有密碼資訊;與此同時,圖片檔或是PDF會被程式指令開啟,以遮蔽使用者對於 RARsfx 文件的視線。
RARsfx 文件內含有一個可被執行的 .NET 檔案,並受到 ConfuserEX 開源保護程序混淆。其中,本次被發現的 payload來自於 CoinMiner 和 QuasarRat 。其中,CoinMiner 會透過受害者的設備進行加密貨幣的挖礦,除此之外,也可能存取使用者在 web browser 和 Microsoft Outlook上的個人資料。除此之外,Coinminer 也會透過 Windows Management Instrumentation (WMI) 收集用戶的設備和軟體軟體資訊,用於未來規避資安偵查用。Quasar RAT,則是一個在Github上可以被找到的開源的RAT (remote access trojan),因其強大的效能受到攻擊者的喜愛。
#結論
因此手法不需要說服使用者輸入約定密碼便可以自行解鎖並執行惡意程式碼,可以在不與用戶互動的情況下竊取用戶的資訊、進行惡意勒索或是加密貨幣的劫持。
參考資料
Archive Sidestepping: Self-unlocking password-protected RAR. Trustwave (Oct 20, 2022)- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/archive-sidestepping-self-unlocking-password-protected-rar/
【資安日報】2022年10月25日…, iThome(Oct 25, 2022) - https://www.ithome.com.tw/news/153807