WinRAR 自解压档案的安全隐患研究

关键要点

不法分子利用 WinRAR 的自解压档案运行未被传统杀毒软件检测的可执行文件通过被盗凭证，攻击者在受害者系统中植入密码保护的 SFX 文件SFX 文件能够在登录屏幕前执行，绕过系统认证，为攻击者提供持久后门

根据 BleepingComputer 的报道，Crowdstrike 的网络安全研究人员分析发现，一些威胁行为者正在利用 WinRAR 的自解压档案功能，运行如 PowerShell 之类的可执行文件，而不被传统的杀毒软件侦测到。在进行事件响应调查时，Crowdstrike 的员工发现在受害者系统上存在一个密码保护的 SFX 文件，该文件是由敌对者利用被盗凭证，通过滥用 Utilman 应用程序触发的。Utilman 应用程序可以在用户登录之前执行，从而绕过系统的身份验证。

这个 SFX 文件包含一个假装为空的文本文件和在创建过程中输入的自定义命令，这些命令使其能够自动执行 PowerShell、命令提示符和任务管理器，同时提取文件而无需创建对话框或窗口。Crowdstrike 报告指出：“因为这个 SFX 档案可以在登录屏幕上运行，敌对者实际上拥有了一个持久后门，只要提供正确的密码，就可以使用 NT AUTHORITYSYSTEM 权限运行 PowerShell、Windows 命令提示符和任务管理器。”

一元机场推荐

进一步的信息

该问题突显了在不法入侵下，自解压档案的潜在威胁。有必要提升对这种攻击方式的认识，并加强相关的安全防范措施。

安全建议

定期更新并使用强项密码监测系统中任何异常的自解压档案教育用户识别可疑活动，报告给 IT 安全团队

通过全面了解这些安全威胁，用户和组织可以更好地防范潜在攻击，保护自身的数据安全。

威胁行为者利用 WinRAR SFX 添加不可检测的后门媒体

WinRAR 自解压档案的安全隐患研究

关键要点

进一步的信息

安全建议

订阅