WinRAR v centru pozornosti!

Útočníci vymýšlejí stále nové způsoby, jak minimalizovat „riziko“, že nekalou činnost odhalí nějaké to bezpečnostní řešení, či dokonce EDR. Zaujal mě například tento originální způsob mazání souborů, který použila ruská hackerská skupina Sandworm ve společnostech na Ukrajině.

Byl totiž využit populární archivační program WinRAR, u něhož se vědělo, že se již na koncových stanicích nachází. Likvidaci / mazání souborů pak neřešil přímo proces havěti, ale právě WinRAR, který byl pro tuto činnost zneužit. Tenhle program lze totiž ovládat skrze příkazovou řádku a parametr „-df“ zajistí, že soubory, které „zabalí“ do archivu RAR, následně z disku smaže.

Malware byl na cílové stanice dopraven skrze naplánovanou úlohu, jenž byla distribuována centrálně skrze Group Policy. Síť tak již byla útočníky kompromitována. Ještě bych rád doplnil, že o volání WinRARu se staral prostý dávkovký soubor .BAT, který v cyklu procházel disky C: až Z: a hledal v nich soubory dle definovaných přípon. Ty pak předhazoval WinRARu, který je zabalil a následně smazal (+skript pak smazal i samotný archiv).

Motiv útočníků byl jasný – snížit riziko odhalení, neboť legitimní procesy (zde WinRAR) mají přecijenom větší důvěru ze strany bezpečnostních řešení, než cokoliv jiného, s nižší reputací. Jinak z pohledu nároku na výkon je to nejnáročnější způsob mazání, které jsem kdy viděl 🙂

Více informací najdete zde.

Bonus: RAR jako nativní součást Windows 11!

Mimochodem, když jsme u RARu, co nevidět se stane součástí Windows 11 nativní podpora tohoto formátu, ale i 7z, či .gz! Když k tomu přidáme fakt, že poznámkový blok už umí správně zalámat konce řádků u textových souborů z Linuxu či MACu, k dokonalosti už zbývá snad jen to, aby Word či Excel uměl otevřít zároveň dva soubory se shodným názvem, avšak z různých míst!

Více k tomuto tématu zde.