Hackeri pridávajú škodlivé funkcie do samorozbaľovacích archívov WinRAR, ktoré obsahujú neškodné návnady, čo im umožňuje umiestniť zadné vrátka bez spustenia bezpečnostného agenta na cieľovom systéme.
Samorozbaľovacie archívy (SFX) vytvorené pomocou komprimačného softvéru ako WinRAR alebo 7-Zip sú v podstate spustiteľné súbory, ktoré obsahujú archivované údaje spolu so vstavaným dekompresným mechanizmom. Súbory SFX môžu byť chránené heslom, aby sa zabránilo neoprávnenému prístupu.
Skutočnou funkciou súboru SFX je zneužitie možností nastavenia WinRAR na spustenie PowerShell, príkazového riadka Windows (cmd.exe) a správcu úloh so systémovými oprávneniami.
Aby sa zabránilo zneužitiu, mali by používatelia zvážiť nasledovné:
- Preskúmajte archívy SFX pomocou softvéru na archivácie alebo iných nástrojov a zobrazte všetky potenciálne skripty alebo spustiteľné súbory, ktoré sú nastavené na extrakciu a spustenie pri spustení.
- Vždy, keď je to možné, použite na rozbalenie alebo prezeranie archívu SFX nainštalovaný softvér na rozbalenie archívu a nie spustenie samotného archívu SFX.
Ďalšie informácie je možné nájsť na stránkach:
https://www.crowdstrike.com/blog/self-extracting-archives-decoy-files-and-their-hidden-payloads/