SFX-Archive können erstellt werden, damit jemand anderes diese dann ohne WinRAR oder 7-ZIP installiert zu haben ausführen kann. Es sind also selbst extrahierende Archive. Nach einigen Vorfällen hatten die Forscher von crowdstrike sich das jetzt einmal genauer angeschaut.
Sie stellten fest, dass diese SFX-Archive missbraucht werden können. Diese enthalten keine Malware, sondern sind scheinbar leer und können unbemerkt eine Hintertür platzieren, die dann Zugang zum Rechner gewährt. Das „Böse“ daran ist, dass diese passwortgeschützte Datei kein Dialog oder Fenster anzeigt, sondern sich stillschweigend installiert.
Mithilfe von PowerShell kann man so auf die utilman.exe zugreifen. Wir kennen diese *.exe, wenn wir unser Passwort vergessen haben und es zurücksetzen müssen.
„Da dieses SFX-Archiv vom Anmeldebildschirm aus ausgeführt werden konnte, verfügte der Angreifer effektiv über eine dauerhafte Hintertür, auf die zugegriffen werden konnte, um PowerShell, die Windows-Eingabeaufforderung und den Task-Manager mit NT AUTHORITY\SYSTEM-Berechtigungen auszuführen, solange das richtige Passwort angegeben wurde.“
Wirklich neu ist der Missbrauch von SFX-Archiven nicht, aber es gibt verschiedene Methoden, um einen solchen Missbrauch zu vermeiden. Denn Antiviren-Software kann hier selten helfen.
- SFX-Archive mithilfe von Entarchivierungssoftware oder anderen Tools untersuchen, um mögliche Skripte oder ausführbare Dateien zu erkennen, die extrahiert und bei der Ausführung ausgeführt werden sollen.
- Überprüfe nicht nur den Inhalt eines SFX-Archivs, sondern auch die vom SFX-Archiv-Dekompressor-Stub bereitgestellten Funktionen, um Befehle zu identifizieren, die während, vor oder nach der erfolgreichen Extraktion ausgeführt werden.
- Entwickle ein Verfahren zur Überprüfung, ob ein passwortgeschütztes SFX-Archiv bösartige oder verdächtige Inhalte enthält.
- Untersuche jedes SFX-Archiv, das nur eine Null-Byte-Datei enthält, gründlich auf zusätzliche Funktionen.
- Verwende nach Möglichkeit installierte Entarchivierungssoftware, um ein SFX-Archiv zu extrahieren oder anzuzeigen, anstatt das SFX-Archiv selbst auszuführen. Da das Archiv als Overlay vorliegt, kann es bei Bedarf auch mit einem Hex-Editor aus der ausführbaren Datei herausgeschnitten werden.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 21H2, 22H2 (22621), 22H2 (22624) Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Es sollte u.a. auch erwähnt werden, dass es sich um eine .exe Datei handelt, wenn man so ein Archiv erstellt, zumindest, wenn es mit 7z erstellt, wurde.
Ich habe nach langer Zeit wieder so ein Archiv erstellt, da ist der Defender sofort aktiv geworden, über das InfoCenter wurde ich darüber informiert, wo ich zu folgender Seite geleitet wurde.
https://support.microsoft.com/de-de/topic/was-ist-eine-%C3%BCberpr%C3%BCfung-der-cloudsicherheit-75112696-7660-4450-9194-d717f72a8ad8
Der Defender wird aber neuerdings auch schon bei etwas älteren, bisher vielfach bis ausschließlich problemlos verwendeten selbstinstallierenden Archiven – wie zum Bleistift Ventoy, Rufus, Nero (und vielen anderen) aktiv – und löscht diese sofort und ungefragt vom Datenträger !!!
Auch damit lässt sich natürlich Umsatz generieren !!!
gelöscht? der Defender schiebt die Datei in Quarantäne. und von dort kann man die wiederherstellen und auch unter „Aktion“ zulassen.
Umsatz? habe für den Defender noch nie bezahlen müssen.
gepostet mit der Deskmodder.de-App für Android
Bei mir wurde nichts gelöscht, da ich an den Inhalt (mehrere Firmware Updates) nichts geändert habe.
Ich verstehe sowieso nicht, wieso diese Seuche von SFX-Installern sich so durchgesetzt hat.
Es gibt ein sicheres Paketformat für klassische und für moderne Windows-Installation und das ist MSI bzw. MSIX. An sich müssten alle Entwickler ihre Pakete in diesen Formaten ausliefern. Wäre deutlich sicherer, deutlich bequemer für die Anwender und deutlich einfacher für Admins.
Aber selbst einige Softwareprodukte, die es als MSI gibt, werden zuerst als SFX angeboten (VLC z.B.) oder verstecken die MSI zuerst mal in einem SFX (Adobe). Das ist so sinnlos und kontraproduktiv!
siehe 2015 nichts wirklich neues. Haha..
https://seclists.org/fulldisclosure/2015/Sep/106
https://www.rarlab.com/vuln_sfx_html.htm
👍👍👍
gepostet mit der Deskmodder.de-App
Da ist er wieder, der böse Geist!
Im SFX-Format wird ein selbstentpackendes Archiv erstellt, um die Voraussetzung eines installierten 7-Zip oder WinRAR zu umgehen. So weit ja wohl verständlich, nachvollziehbar, und obendrein sowas von alt!
Dass ein böswilliger Zeitgenosse in jeglicher EXE, es gibt nämlich auch noch andere, Schadcode verstecken und einschleusen kann, ist jetzt echt nicht neu!!
Das man EXE-Dateien von Unbekannten nicht einfach auf seinem PC ausführt, ist eine Weisheit, die auch schon deutlich älter ist, als der „Enkeltrick“!!!
Und auch die Herkunft von solchen Dateien ist IMMER zu verifizieren. Es gibt ja nun wirklich genug Quellen, denen man nach aller Erfahrung und menschlichem Ermessen vertrauen kann. Die Sicherheit am heimischen PC ist jedes digitalen Spielkinds tägliche permanente Standardaufgabe. Wer dabei „Rechts vor Links“ missachtet, weiß das es knallt!
Und auch wenns schwer fällt, muss man seinen Horizont beim Blick auf die digitalen Helferlein und Spielzeuge so weit halten, zu realisieren, dass ein PC kein Transistorradio ist, und „betreutes privates PC-Arbeiten“ auch keine Lösung. Wenn ich von einer obenliegenden Nockenwelle keine Ahnung habe, muss ich die Finger vom Zerlegen des Motors lassen. Banale Logik!
…“Rechts vor Links” missachtet, weiß das es knallt!…
Und genau deshalb hab ich gestern noch einmal daran erinnert.