Сообщается об очередной уязвимости в системном приложении Windows 10, которое позволяет без обнаружения загружать вирусы.
Список встроенных исполняемых файлов в Windows, которые могут загружать и запускать вредоносный код, продолжает расти, сообщает Bleeping Computer.
Эти файлы известны как living-off-the-land binaries (LoLBins) и являются частью системы. Они могут помочь злоумышленникам обойти меры безопасности для вредоносных программ, не вызывая оповещения системы безопасности.
Последним пополнением в списке стал файл finger.exe, системное приложение для получения информации о пользователях удаленных компьютеров, на которых запущена служба Finger deamon. Связь осуществляется через сетевой протокол Name/Finger.
Исследователь безопасности Джон Пейдж обнаружил, что команда Microsoft Windows TCPIP Finger также может функционировать как загрузчик файлов и импровизированный сервер управления и контроля, который может служить для отправки команд и извлечения данных с компьютера.
По словам исследователя, вредоносные команды, которые загружают файлы и извлекают данные,могут быть замаскированы как запросы Finger, так чтобы Защитник Windows обнаружил аномальную активность.
Одна из проблем заключается в том, что порт 79, используемый протоколом Finger, часто блокируется внутри организации, говорится в сообщении.
Однако злоумышленник с достаточными привилегиями может обойти ограничение, используя Windows NetSh Portproxy, который действует как перенаправитель портов для протокола TCP.
Этот метод позволит обойти правила брандмауэра и общаться с серверами через неограниченные порты для HTTP. Таким образом, запросы Portproxy доставляются на IP-адрес локального компьютера, а затем перенаправляются на указанный хост.
Использование finger.exe для загрузки файлов также имеет ограничения, но плюсом является то, что его сложно обнаружить, поскольку их кодирования с помощью Base64 достаточно, чтобы избежать обнаружения.
Доступны демонстрационные скрипты
Исследователь создал демо сценарий для проверки (PoC) - DarkFinger.py для DarkFinger-Agent.bat - и опубликовал их, чтобы продемонстрировать эту двойную функциональность finger.exe.
В видео, показывающем, как работают сценарии, Пейдж сравнил свой недавно обнаруженный метод с certutil.exe, еще одним LoLBin в Windows, используемым в злонамеренных целях.
Защитник Windows остановил действие certutil и зарегистрировал событие, в то время как сценарий DarkFinger без прерывания выполнил действие на компьютере с Windows 10:
В отчете Cisco Talos за прошлый год перечислено 13 LoLBin в Windows, однако, по состоянию на сегодняшний день исследователи безопасности обнаружили новые исполняемые файлы, которые соответствуют всем требованиям.
Один из самых последних, о котором сообщалось на BleepingComputer, - это не что иное, как антивирус Windows Defender, встроенный в Windows, который может загружать произвольные файлы с помощью DownloadFile аргумента командной строки, добавленного в версии 4.18.2007.9 или 4.18.2009.9.
Другой - desktopimgdownldr.exe, исполняемый файл, находящийся в каталоге system32 Windows 10, который является частью Personalization CSP для изменения экрана блокировки и фоновых изображений рабочего стола. О нем мы уже подробно рассказывали.
Изображение на обложке: Kiyoshi Ota / Getty Images
Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.