Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Archivos autoextraíbles SFX son utilizados para ejecutar Powershell sin ser detectados
Delincuentes informáticos están agregando funciones maliciosas a los archivos autoextraíbles SFX con WinRar que contienen archivos señuelo inofensivos, lo que les permite plantar puertas traseras sin activar el agente de seguridad en el sistema de destino.
Los archivos autoextraíbles (SFX) creados con software de compresión como WinRAR o 7-Zip son esencialmente ejecutables que contienen datos archivados junto con un código auxiliar de descompresión incorporado (el código para desempaquetar los datos). El acceso a estos archivos se puede proteger con contraseña para evitar el acceso no autorizado.
El propósito de los archivos SFX es simplificar la distribución de datos archivados a usuarios que no tienen una utilidad para extraer el paquete.
Los investigadores de la empresa de ciberseguridad CrowdStrike detectaron el abuso de SFX durante una reciente investigación de respuesta a incidentes.
Ataques SFX
El análisis de Crowdstrike descubrió un grupo que usó credenciales robadas para abusar de "utilman.exe" y lo configuró para iniciar un archivo SFX protegido con contraseña que se había colocado en el sistema previamente en alguna clave de arranque de Windows.
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /v "debugger" /d "[REDACTED PathToSFXArchive]" /f
Utilman es una aplicación de accesibilidad que se puede ejecutar antes del inicio de sesión del usuario, a menudo abusada por atacantes para eludir la autenticación del sistema. El archivo SFX activado por utilman.exe está protegido con contraseña y contiene un archivo de texto vacío que sirve como señuelo.
La función real del archivo SFX es abusar de las opciones de configuración de WinRAR para ejecutar PowerShell, el símbolo del sistema de Windows y el administrador de tareas con privilegios del sistema (powershell.exe, cmd.exe y taskmgr.exe).
Al observar más de cerca la técnica utilizada, Jai Minton de CrowdStrike descubrió que el atacante había agregado varios comandos para ejecutar después de que el objetivo extrajo el archivo de texto archivado. Si bien no hay malware en el archivo, el actor de amenazas agregó comandos en el menú de configuración para crear un archivo SFX que abriría una puerta trasera en el sistema.
WinRAR ofrece un conjunto de opciones SFX avanzadas que permiten agregar una lista de ejecutables para que se ejecuten automáticamente antes o después del proceso, así como sobrescribir archivos existentes en la carpeta de destino si existen entradas con el mismo nombre. El atacante personalizó el archivo SFX para que no se muestre ningún cuadro de diálogo ni ventana durante el proceso de extracción.
"Debido a que este archivo SFX se podía ejecutar desde la pantalla de inicio de sesión, el adversario efectivamente tenía una puerta trasera persistente a la que se podía acceder para ejecutar PowerShell, el símbolo del sistema de Windows y el administrador de tareas con privilegios NT AUTHORITY\SYSTEM, siempre que se proporcionara la contraseña correcta", explica Crowdstrike.
Crowdstrike afirma que es poco probable que las soluciones AV tradicionales detecten los archivos SFX maliciosos. En las pruebas, Windows Defender reaccionó cuando creamos un archivo SFX personalizado para ejecutar PowerShell después de la extracción.
El agente de seguridad de Microsoft detectó el ejecutable resultante como un script malicioso rastreado como Wacatac y lo puso en cuarentena. Sin embargo, esta reacción solo ocurrió una vez y no se pudo replicarla.
Los investigadores aconsejan a los usuarios que presten especial atención a los archivos SFX y utilicen el software adecuado para verificar el contenido del archivo y buscar posibles ataques.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2023/04/archivos-autoextraibles-de-winrar.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.