Wie Forscher feststellten, kann die aus WinRAR oder 7-Zip bekannte selbstextrahierende SFX-Datei weitaus mehr als nur ihren Inhalt entpacken.
Eine aus Packprogrammen wie WinRAR oder 7-Zip bekannte selbstextrahierende SFX-Datei lässt sich nicht nur schnell und einfach per Doppelklick entpacken. Angreifer können sie obendrein missbrauchen, um Deinem System eine Hintertür zu verpassen und beliebige Befehle mit Systemrechten auszuführen.
SFX-Dateien entpacken sich selbst
Archivierungstools wie 7-Zip oder WinRAR erleichtern ihren Anwendern seit jeher den Austausch von Dateien mit anderen Nutzern. Wer beispielsweise eine Liste von Dokumenten verschicken will, kann diese mit einer solchen Software in einer einzelnen Archivdatei verpacken. Diese lässt sich anschließend einfach an eine Mail anhängen oder per Messenger versenden.
Möchte der Benutzer dem Empfänger das Entpacken ein bisschen leichter machen, so kann er eine SFX-Datei – ein “selbstextrahierendes Archiv” – erstellen. In diesem Fall liefert das jeweilige Packprogramm eine ausführbare Datei, die neben den verpackten Dokumenten gleich auch den Code mitliefert, der für die Dekomprimierung erforderlich ist.
Folglich lassen sich die in dem SFX-Archiv enthaltenen Dateien auch ohne Installation einer Software wie WinRAR oder 7-Zip wieder entpacken. Alles, was der Anwender dafür machen muss, ist ein Doppelklick auf das Archiv.
Hacker erlangt Systemrechte und bleibt unentdeckt
Doch eine solch verlockende Einfachheit geht in der IT leider nicht selten mit gewissen Risiken einher. So beobachteten Sicherheitsforscher von CrowdStrike kürzlich, wie ein Angreifer eine passwortgeschützte SFX-Datei missbrauchte, um ein fremdes System mit einer Backdoor auszustatten. Das Archiv selber enthielt dabei keinerlei Malware.
analysierten SFX-Datei
Um die SFX-Datei auszuführen, nutzte der Hacker die Accessibility-Anwendung “utilman.exe”, die sich auf Windows-Systemen bereits vor der Benutzeranmeldung starten lässt. Er erweiterte den Code der Archivdatei um zusätzliche Befehle, mit denen er die PowerShell, die Eingabeaufforderung und den Task-Manager jeweils mit Systemrechten öffnen konnte.
Wie BleepingComputer berichtet, sorgte der Angreifer durch weitere Parameter dafür, dass die Software keinerlei Dialoge oder Fenster anzeigte. Somit bekam auch der Anwender von den Vorgängen nichts mit.
Antivirensoftware prüft eher den Inhalt der SFX-Datei
Wie die Forscher in ihrem Bericht erklärten, habe sich der Hacker damit eine dauerhafte Hintertür geschaffen. Durch die Ausführung vom Login-Screen aus war er lediglich darauf angewiesen, dass der angegriffene Benutzer sich mit dem richtigen Kennwort anmeldete. Anschließend sei es dem Angreifer möglich gewesen, beliebige Befehle mit Systemrechten auszuführen.
“Diese Art von Angriff wird wahrscheinlich von herkömmlicher Antivirensoftware unentdeckt bleiben, die eher nach Malware innerhalb eines Archivs (das oft auch kennwortgeschützt ist) als nach dem Verhalten eines SFX-Archivdekompressor-Stubs sucht.”
CrowdStrike
Wer sich und seinen Rechner vor derartigen Angriffen schützen möchte, sollte den Absender einer SFX-Datei stets etwas genauer untersuchen, bevor er versucht, diese zu entpacken. Darüber hinaus kann sich auch ein Blick auf unsere 10 Regeln für ein sicheres Online-Verhalten als lohnenswert erweisen.
