Как стать автором
Обновить

Штатные функции декомпрессора SFX-архивов позволяют запускать PowerShell и скрипты без обнаружения антивирусами

Время на прочтение2 мин
Количество просмотров3K
Всего голосов 5: ↑4 и ↓1+6
Комментарии16

Комментарии 16

а в чём отличие SFX-архива от любой другой исполняемой программы? в том, что пользователи к ним больше привыкли и считают более безопасными?

В том, что ОС им доверяет.

все очень сложно, мы например используем rar sfx как инсталлятор, так вот когда он не подписан, наверно треть virustotal агрится, но стоит его подписать code sign ev, так сразу отстают. В итоге подписываем и архив и содержимое. Что интересно, на сожержимое загружаемых dll всем антивирусам тоже пофиг.

Серьезно? Сами проверяли или рассказал кто? Давайте для начала простой вопрос: как система понимает что это SFX?

Как я понимаю, речь не о самой ОС, а об антивирусах. Сигнатура хорошего SFX и плохого не отличается, потому что архиватор пихает один и тот же исполняемый код вне зависимости от содержимого архива.

Однако, SFX позволяет выполнять сценарии и сценарии могут делать что-то нехорошее. А антивирусы, судя по новости, сканировали только сам распаковщик и интерпретатор сценариев, а также содержимое архива, но не сами сценарии.

SFX сам по себе помечать как вирус нельзя, потому что он сам не делает ничего плохого и повсеместно распространен для белых применений.

Да по новости вообще ничего не понятно, так-то...

...из-за sxfi и музыкального коллектива sfx 80ых я не сразу впомнил про sfx-архивы тк всегда их избегал или открывал функцией открытия архива боясь нечаяно запустить тк всeгда это было угрозой ga в основном из-за механизма скриптов - запускал только когда уже способами обхода не nолучалось использывать содержимое но вот .msi меня так не стремали

О, это же то, что потом стало называться Astral Projection...

Насколько я понял новость, вся суть в косяке антивирусов, которые увидев SFX, радостно бросаются сканировать содержимое и не анализируют его как обычную программу. Хотя, коненчо, хотелось бы подробностей, какие именно антивирусы так себя ведут, уж больно огромный, очевидный и непростительный просчёт получается, как-то не верится, что все как один его допустили.

Тут проблема не в том, что они не анализируют модуль распаковщика (зачем, если он стандартный и для всех архивов совпадает до байта), а в том, что тут появляется ещё один скриптовой язык, интерпретируемый этим SFX-модулем, скрипты на котором не анализируют. Это как если бы антивирус не стал анализировать vbs или js скрипты, которые в системе также запускаются одним кликом, и на них можно написать что-то вредоносное.

НЛО прилетело и опубликовало эту надпись здесь

Кому нужна безопасность, открывают SFX через установленный архиватор. А кому нужно удобство, запускают всё подряд.

Falcon OverWatch threat hunters recently discovered an adversary attempting to establish persistence through the use of an Image File Execution Options debugger after gaining access to a system using compromised credentials. 

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /v "debugger" /d "[REDACTED PathToSFXArchive]" /f

Опять вирус, который надо еще умудриться скомпилировать под целевую систему. Если атакующий получил достаточный уровень доступа для записи в HKLM, то уже не имеет значения вся остальная детализация, как и что он спрячет. Этого уровня доступа хватит, скорее всего, в том числе, чтобы заменить файлы в %SYSTEMROOT%\System32. Если этого доступа не хватит, то файлы, содержащие вредоносную нагрузку, скорее всего, будут размещены там, откуда Software Restiction Pilicies запрещают запуск исполняемых файлов.

Впрочем, у меня другая новость: единственный (из испробованных мной) магазин игр, который безопасен (в определенных пределах) -- Steam.

GOG и Origin, например, пишут исполняемые файлы в %TEMP% и запускают их оттуда. Само собой, Software Restriction Policies их посылают. Но в ответ на тикеты обе этих команды криворуких долбоящеров отвечают: "нам норм, ничего не будем менять". Steam же не требует доступа на запуск исполняемых файлов ниоткуда, кроме %PROGRAMFILES%, каталога, куда положили инсталлятор магазина и, конечно же, каталога, куда устанавливаются сами игры, если этот каталог не располагается в %PROGRAMFILES%.

Ложное чувство безопасности. Потому при установке приложений из стима он запускает install-скрипт с правами локального админа, и этот скрипт может установить kernel-mode driver, например, или записать пару exe-шников в папки к другим играм, или в сам steam, то есть туда, откуда разрешены запуски. При этом, не всплывает никаких UAC-уведомлений, вы не знаете, что сторонний код отработал с правами админа. Тут даже игру запускать не надо: достаточно сказать "халява" и куча юзеров набежит на халяву и установит игру "на будущее", выполнив у себя её install-сценарии.

Вовсе нет. Это называется эшелонированная оборона.

Первым делом в действие вступает подсистема, которая включена по умолчанию и запрещает приложениям писать в практически любые каталоги, пока это явно не будет разрешено.

Затем можно дополнительно шлифануть SRP, которая, правда, по умолчанию работает в permissive-mode. Пару часов на вдумчивую настройку, и можно так же обеспечить невозможность запуска приложений из мест, которые явно не разрешены (у меня, например, Edge ярлыком на рабочем столе не запускается, а ярлыком в панели -- запускается). Любых приложений, даже встроенные в Windows начинают верещать, как поросята.

Так вот, если стим пропустил сценарий, содержащий в себе зловредную вставку, это риск, да, но менее вероятный, чем браузер поимели и через него запустили нагрузку прямо из кэша браузера, потому что GOG решительно настаивают на том, что пользователю требуется:

  • отключить SRP

  • предоставить права администратора

  • если ничего не помогает, отключить даже антивирус

Иными словами, Steam может пропустить что-то, но, по крайней мере, не препятствует выставить оборону от посторонних по отношению к нему приложений. Origin/GOG, напротив, требуют снять все ограничения с хоста, и будь, что будет.

IFEO debugger — ключевое в этом месте. Я такой вирь видел ещё в 04м, он привязывался к explorer.exe и при попытке запустить систему после его удаления запуск падал из-за отсутствия дебаггера. Вообще сама возможность назначить куда-то IFEO debugger должна быть (и ЕМНИП является) привилегированным действием, то есть если его назначили, то система уже взломана, и антивирус можно отключить или изолировать с этими полномочиями, что там запуск powershell или диспетчера задач.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории