自己解凍型アーカイブを悪用して検出回避する新手法が流行、CrowdStrikeが発見

CrowdStrikeによってサイバー攻撃者が自己解凍アーカイブファイルを悪用する新手法が発見された。現行のセキュリティソフトウェアでは検出が難しいとされており注意が必要だ。

[後藤大地，有限会社オングス]

　CrowdStrikeは2023年3月31日（現地時間）、サイバー攻撃者が標的の環境に永続的なバックドアを設置する方法として、一見空に見える「自己解凍アーカイブ（SFX）ファイル」を利用している新しいケースを発見したと伝えた。

　同社によると、サイバー攻撃者はRAR形式の圧縮／解凍ソフト「WinRAR」を悪用しており、既存のセキュリティソフトウェアでは検出が難しいため注意が必要とされている。

CrowdStrikeはSFXファイルを悪用する手口を発見した（出典：CrowdStrikeのWebサイト）

WinRARのSFXファイルを悪用する手口とは？

　SFXファイルはアーカイブアプリケーションをインストールしていないユーザーでもアーカイブされたファイルを解凍できるように自己解凍プログラムを内包したファイルだ。「7-Zip」やWinRARなどのソフトウェアが対応している。

　現時点でのビジネス利用は少ないが、自己解凍アーカイブファイルはパスワード保護できるため、今後、パスワードで保護された自己解凍アーカイブファイルをビジネスシーンで利用するケースは多くなると考えられている。

　SFXファイルの形式は使用するアプリケーションによってさまざまだが、CrowdStrikeは今回、WinRARのSFXファイル機能を使ったサイバー攻撃を確認した。

　WinRARのパスワード保護されたSFXファイルは、適切なパスワードが入力されてファイルの解凍に成功した場合、追加でコマンドを実行する機能が用意されている。サイバー攻撃者はこの機能を悪用してPowerShellやコマンドプロンプト、タスクマネージャーを実行してシステム侵害をしていることが明らかになった。

　CrowdStrikeの分析によると、この手法は、パスワードで保護されていることが多いアーカイブ内のマルウェアを探す従来のウイルス対策ソフトウェアでは検出されない可能性があり、サイバー攻撃者にとって効果的な攻撃手法だという。

　サイバー攻撃者は「Windows」の実行ファイル「utilman.exe」を悪用し、SFXファイルを実行するようにレジストリを書き換え、パスワードを入力させることでSFXファイルに指定されているコマンドを実行させている。

　CrowdStrikeは現時点での対策として、解凍ソフトウェアやその他のツールを使用してSFXファイルを調査し、パスワード入力時に実行されるように設定された潜在的なスクリプトまたは実行可能ファイルを表示することなどを推奨している。