Ein Hacker, der sich dank einer SFX-Datei gerade auf Deinem System austobt (Symbolbild)
Ein Hacker, der sich dank einer SFX-Datei gerade auf Deinem System austobt (Symbolbild)
Bildquelle: Surgay, Lizenz

SFX-Datei erlaubt Angreifern Befehlsausführung mit Systemrechten

Wie Forscher feststellten, kann die aus WinRAR oder 7-Zip bekannte selbstextrahierende SFX-Datei weitaus mehr als nur ihren Inhalt entpacken.

Eine aus Packprogrammen wie WinRAR oder 7-Zip bekannte selbstextrahierende SFX-Datei lässt sich nicht nur schnell und einfach per Doppelklick entpacken. Angreifer können sie obendrein missbrauchen, um Deinem System eine Hintertür zu verpassen und beliebige Befehle mit Systemrechten auszuführen.

SFX-Dateien entpacken sich selbst

Archivierungstools wie 7-Zip oder WinRAR erleichtern ihren Anwendern seit jeher den Austausch von Dateien mit anderen Nutzern. Wer beispielsweise eine Liste von Dokumenten verschicken will, kann diese mit einer solchen Software in einer einzelnen Archivdatei verpacken. Diese lässt sich anschließend einfach an eine Mail anhängen oder per Messenger versenden.

Möchte der Benutzer dem Empfänger das Entpacken ein bisschen leichter machen, so kann er eine SFX-Datei – ein “selbstextrahierendes Archiv” – erstellen. In diesem Fall liefert das jeweilige Packprogramm eine ausführbare Datei, die neben den verpackten Dokumenten gleich auch den Code mitliefert, der für die Dekomprimierung erforderlich ist.

Folglich lassen sich die in dem SFX-Archiv enthaltenen Dateien auch ohne Installation einer Software wie WinRAR oder 7-Zip wieder entpacken. Alles, was der Anwender dafür machen muss, ist ein Doppelklick auf das Archiv.

Hacker erlangt Systemrechte und bleibt unentdeckt

Doch eine solch verlockende Einfachheit geht in der IT leider nicht selten mit gewissen Risiken einher. So beobachteten Sicherheitsforscher von CrowdStrike kürzlich, wie ein Angreifer eine passwortgeschützte SFX-Datei missbrauchte, um ein fremdes System mit einer Backdoor auszustatten. Das Archiv selber enthielt dabei keinerlei Malware.

Parameter der von CrowdStrike-Forschern analysierten SFX-Datei
Parameter der von CrowdStrike-Forschern
analysierten SFX-Datei

Um die SFX-Datei auszuführen, nutzte der Hacker die Accessibility-Anwendung “utilman.exe”, die sich auf Windows-Systemen bereits vor der Benutzeranmeldung starten lässt. Er erweiterte den Code der Archivdatei um zusätzliche Befehle, mit denen er die PowerShell, die Eingabeaufforderung und den Task-Manager jeweils mit Systemrechten öffnen konnte.

Wie BleepingComputer berichtet, sorgte der Angreifer durch weitere Parameter dafür, dass die Software keinerlei Dialoge oder Fenster anzeigte. Somit bekam auch der Anwender von den Vorgängen nichts mit.

Antivirensoftware prüft eher den Inhalt der SFX-Datei

Wie die Forscher in ihrem Bericht erklärten, habe sich der Hacker damit eine dauerhafte Hintertür geschaffen. Durch die Ausführung vom Login-Screen aus war er lediglich darauf angewiesen, dass der angegriffene Benutzer sich mit dem richtigen Kennwort anmeldete. Anschließend sei es dem Angreifer möglich gewesen, beliebige Befehle mit Systemrechten auszuführen.

“Diese Art von Angriff wird wahrscheinlich von herkömmlicher Antivirensoftware unentdeckt bleiben, die eher nach Malware innerhalb eines Archivs (das oft auch kennwortgeschützt ist) als nach dem Verhalten eines SFX-Archivdekompressor-Stubs sucht.”

CrowdStrike

Wer sich und seinen Rechner vor derartigen Angriffen schützen möchte, sollte den Absender einer SFX-Datei stets etwas genauer untersuchen, bevor er versucht, diese zu entpacken. Darüber hinaus kann sich auch ein Blick auf unsere 10 Regeln für ein sicheres Online-Verhalten als lohnenswert erweisen.

Tarnkappe.info

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.


Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.