自己解凍型アーカイブを悪用して検出回避する新手法が流行、CrowdStrikeが発見
CrowdStrikeによってサイバー攻撃者が自己解凍アーカイブファイルを悪用する新手法が発見された。現行のセキュリティソフトウェアでは検出が難しいとされており注意が必要だ。
CrowdStrikeは2023年3月31日(現地時間)、サイバー攻撃者が標的の環境に永続的なバックドアを設置する方法として、一見空に見える「自己解凍アーカイブ(SFX)ファイル」を利用している新しいケースを発見したと伝えた。
同社によると、サイバー攻撃者はRAR形式の圧縮/解凍ソフト「WinRAR」を悪用しており、既存のセキュリティソフトウェアでは検出が難しいため注意が必要とされている。
WinRARのSFXファイルを悪用する手口とは?
SFXファイルはアーカイブアプリケーションをインストールしていないユーザーでもアーカイブされたファイルを解凍できるように自己解凍プログラムを内包したファイルだ。「7-Zip」やWinRARなどのソフトウェアが対応している。
現時点でのビジネス利用は少ないが、自己解凍アーカイブファイルはパスワード保護できるため、今後、パスワードで保護された自己解凍アーカイブファイルをビジネスシーンで利用するケースは多くなると考えられている。
SFXファイルの形式は使用するアプリケーションによってさまざまだが、CrowdStrikeは今回、WinRARのSFXファイル機能を使ったサイバー攻撃を確認した。
WinRARのパスワード保護されたSFXファイルは、適切なパスワードが入力されてファイルの解凍に成功した場合、追加でコマンドを実行する機能が用意されている。サイバー攻撃者はこの機能を悪用してPowerShellやコマンドプロンプト、タスクマネージャーを実行してシステム侵害をしていることが明らかになった。
CrowdStrikeの分析によると、この手法は、パスワードで保護されていることが多いアーカイブ内のマルウェアを探す従来のウイルス対策ソフトウェアでは検出されない可能性があり、サイバー攻撃者にとって効果的な攻撃手法だという。
サイバー攻撃者は「Windows」の実行ファイル「utilman.exe」を悪用し、SFXファイルを実行するようにレジストリを書き換え、パスワードを入力させることでSFXファイルに指定されているコマンドを実行させている。
CrowdStrikeは現時点での対策として、解凍ソフトウェアやその他のツールを使用してSFXファイルを調査し、パスワード入力時に実行されるように設定された潜在的なスクリプトまたは実行可能ファイルを表示することなどを推奨している。
関連記事
- 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - sudoに特権昇格の脆弱性 複数のQNAP OSに影響
QNAPのOSに脆弱性が見つかった。sudoでの特権昇格を可能にする脆弱性で、「QTS」「QuTS hero」「QuTScloud」「QVP」(QVR Proアプライアンス)が影響を受けるとされる。 - 市販ツールでランサムウェア攻撃 効率化重視の脅威アクターの実態
サイバー攻撃者はより効率的なオペレーションを実行し、市販のツールでスキルを補完することで攻撃を成功させている。 - CISOの半数が2025年までに“転職希望” 一体なぜ?
Gartnerの調査によると、セキュリティリーダーの半数が2025年までの転職を希望している。そのうち4分の1は全く異なる職務に就くと予測している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.