Новый баг в Windows 10 может использоваться для загрузки или кражи файлов

Новый баг в Windows 10 может использоваться для загрузки или кражи файлов

Сообщается об очередной уязвимости в системном приложении Windows 10, которое позволяет без обнаружения загружать вирусы.

Список встроенных исполняемых файлов в Windows, которые могут загружать и запускать вредоносный код, продолжает расти, сообщает  Bleeping Computer.

Эти файлы известны как living-off-the-land binaries (LoLBins) и являются частью системы. Они могут помочь злоумышленникам обойти меры безопасности для вредоносных программ, не вызывая оповещения системы безопасности.

Последним пополнением в списке стал файл finger.exe, системное приложение для получения информации о пользователях удаленных компьютеров, на которых запущена служба Finger deamon. Связь осуществляется через сетевой протокол Name/Finger.

Исследователь безопасности Джон Пейдж обнаружил, что команда Microsoft Windows TCPIP Finger также может функционировать как загрузчик файлов и импровизированный сервер управления и контроля, который может служить для отправки команд и извлечения данных с компьютера.

По словам исследователя, вредоносные команды, которые загружают файлы и извлекают данные,могут быть замаскированы как запросы Finger, так чтобы Защитник Windows обнаружил аномальную активность.

Одна из проблем заключается в том, что порт 79, используемый протоколом Finger, часто блокируется внутри организации, говорится в сообщении.

Однако злоумышленник с достаточными привилегиями может обойти ограничение, используя Windows NetSh Portproxy, который действует как перенаправитель портов для протокола TCP.

Этот метод позволит обойти правила брандмауэра и общаться с серверами через неограниченные порты для HTTP. Таким образом, запросы Portproxy доставляются на IP-адрес локального компьютера, а затем перенаправляются на указанный хост.

Использование finger.exe для загрузки файлов также имеет ограничения, но плюсом является то, что его сложно обнаружить, поскольку их кодирования с помощью Base64 достаточно, чтобы избежать обнаружения.

Доступны демонстрационные скрипты

Исследователь создал демо сценарий для проверки (PoC) - DarkFinger.py для DarkFinger-Agent.bat - и опубликовал их, чтобы продемонстрировать эту двойную функциональность finger.exe.

В видео, показывающем, как работают сценарии, Пейдж сравнил свой недавно обнаруженный метод с certutil.exe, еще одним LoLBin в Windows, используемым в злонамеренных целях.

Защитник Windows остановил действие certutil и зарегистрировал событие, в то время как сценарий DarkFinger без прерывания выполнил действие на компьютере с Windows 10:

В отчете Cisco Talos за прошлый год перечислено 13 LoLBin в Windows, однако, по состоянию на сегодняшний день исследователи безопасности обнаружили новые исполняемые файлы, которые соответствуют всем требованиям.

Один из самых последних, о котором сообщалось на BleepingComputer, - это не что иное, как  антивирус Windows Defender, встроенный в Windows, который может загружать произвольные файлы с помощью DownloadFile аргумента командной строки, добавленного в версии 4.18.2007.9 или 4.18.2009.9.

Другой - desktopimgdownldr.exe, исполняемый файл, находящийся в каталоге system32 Windows 10, который является частью Personalization CSP для изменения экрана блокировки и фоновых изображений рабочего стола. О нем мы уже подробно рассказывали.

Изображение на обложке: Kiyoshi Ota / Getty Images


Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.




Join the conversation.

Great! Check your inbox and click the link
Great! Next, complete checkout for full access to Эксплойт
Welcome back! You've successfully signed in
You've successfully subscribed to Эксплойт
Success! Your account is fully activated, you now have access to all content
Success! Your billing info has been updated
Your billing was not updated