Uutta Windows 10 -virhettä voidaan käyttää tiedostojen lataamiseen tai varastamiseen
Toinen haavoittuvuus on raportoitu Windows 10 -järjestelmäsovelluksessa, joka mahdollistaa virusten lataamisen ilman havaitsemista.
Luettelo Windowsin sisäänrakennetuista suoritettavista tiedostoista, jotka voivat ladata ja suorittaa haitallista koodia, kasvaa edelleen Bleeping Computerin mukaan .
Nämä tiedostot tunnetaan nimellä live-off-the-land-binäärit (LoLBins) ja ovat osa järjestelmää. Ne voivat auttaa hyökkääjiä ohittamaan haittaohjelmien suojatoimenpiteet käynnistämättä tietoturvavaroituksia.
Uusin lisäys luetteloon on finger.exe, järjestelmäsovellus, joka hakee tietoja Finger deamon -palvelua käyttävien etätietokoneiden käyttäjistä. Yhteys tapahtuu Name/Finger -verkkoprotokollan kautta .
Tietoturvatutkija John Page havaitsi, että Microsoft Windows TCPIP Finger -komento voi toimia myös tiedostojen lataajana ja väliaikaisena komento- ja ohjauspalvelimena, jota voidaan käyttää komentojen lähettämiseen ja tietojen hakemiseen tietokoneelta.
Tutkijan mukaan haitalliset komennot, jotka lataavat tiedostoja ja poimivat tietoja, voidaan naamioida Finger-pyynnöiksi, jotta Windows Defender havaitsee poikkeavan toiminnan.
Yksi ongelma on, että Finger – protokollan käyttämä portti 79 on usein estetty organisaatiossa, viestissä sanotaan .
Hyökkääjä, jolla on riittävät oikeudet, voi kuitenkin ohittaa rajoituksen käyttämällä Windows NetSh Portproxya, joka toimii TCP-protokollan portin välittäjänä.
Tämän menetelmän avulla voit ohittaa palomuurisäännöt ja kommunikoida palvelimien kanssa rajoittamattomien HTTP-porttien kautta. Siten portproxy-pyynnöt toimitetaan paikallisen tietokoneen IP-osoitteeseen ja välitetään sitten määritettyyn isäntään.
Finger.exe:n käytöllä tiedostojen lataamiseen on myös rajoituksia, mutta kääntöpuolena on, että sitä on vaikea havaita, koska Base64 -koodaus riittää välttämään havaitsemisen.
Demoskriptit saatavilla
Tutkija loi varmistusskriptin (PoC) – DarkFinger.py for DarkFinger-Agent.bat – ja julkaisi ne osoittaakseen finger.exe-tiedoston kaksoistoiminnallisuuden.
Skriptien toimintaa esittelevässä videossa Page vertasi äskettäin löydettyä menetelmää certutil.exe-ohjelmaan, joka on toinen Windowsissa käytetty LoLBin haitallisiin tarkoituksiin.
Windows Defender pysäytti certutil-toiminnon ja kirjasi tapahtuman, kun DarkFinger-skripti suoritti toiminnon keskeytyksettä Windows 10 -koneessa :
Viime vuoden Cisco Talos -raportissa lueteltiin 13 LoLBiniä Windowsissa, mutta tänään tietoturvatutkijat ovat löytäneet uusia suoritettavia tiedostoja, jotka sopivat laskuun.
Yksi viimeisimmistä BleepingComputerissa raportoiduista on ei mikään muu kuin Windowsiin sisäänrakennettu Windows DefenderDownloadFile
-virustorjunta, joka voi ladata mielivaltaisia tiedostoja komentoriviargumentilla, joka on lisätty versioon 4.18.2007.9 tai 4.18.2009.9.
Toinen on desktopimgdownldr.exe, Windows 10:n system32-hakemistosta löytyvä suoritettava tiedosto, joka on osa Personalization CSP:tä lukitusnäytön ja työpöydän taustan vaihtamiseksi. Olemme jo puhuneet siitä yksityiskohtaisesti.