Life hacks, handige tips, aanbevelingen. Artikelen voor mannen en vrouwen. We schrijven over technologie, en over alles wat interessant is.
ComputersNachrichten

Neuer Fehler in Windows 10 könnte zum Herunterladen oder Stehlen von Dateien verwendet werden

2

Eine weitere Schwachstelle wurde in einer Windows 10-Systemanwendung gemeldet, die es ermöglicht, Viren unbemerkt herunterzuladen.

Die Liste der in Windows integrierten ausführbaren Dateien, die bösartigen Code herunterladen und ausführen können, wird laut Bleeping Computer immer länger .

Diese Dateien werden als Living-off-the-Land-Binärdateien (LoLBins) bezeichnet und sind Teil des Systems. Sie können Angreifern helfen, Sicherheitsmaßnahmen für Malware zu umgehen, ohne Sicherheitswarnungen auszulösen.

Die neueste Ergänzung der Liste ist finger.exe, eine Systemanwendung zum Abrufen von Informationen über Benutzer von Remotecomputern, auf denen der Finger -Deamon-Dienst ausgeführt wird. Die Kommunikation erfolgt über das Name/Finger -Netzwerkprotokoll .

Der Sicherheitsforscher John Page entdeckte, dass der TCPIP-Fingerbefehl von Microsoft Windows auch als Datei-Downloader und als provisorischer Befehls- und Steuerungsserver fungieren kann, der zum Senden von Befehlen und zum Abrufen von Daten von einem Computer verwendet werden kann.

Dem Forscher zufolge können bösartige Befehle, die Dateien herunterladen und Daten extrahieren, als Finger-Anfragen getarnt werden, sodass Windows Defender anomale Aktivitäten erkennt.

Ein Problem besteht darin, dass Port 79, der vom Finger -Protokoll verwendet wird, häufig innerhalb einer Organisation blockiert wird, heißt es in dem Beitrag.

Ein Angreifer mit ausreichenden Rechten kann die Einschränkung jedoch umgehen, indem er den Windows NetSh Portproxy verwendet, der als Portweiterleitung für das TCP-Protokoll fungiert.

Mit dieser Methode können Sie Firewall-Regeln umgehen und über uneingeschränkte HTTP-Ports mit Servern kommunizieren. Somit werden Portproxy-Anfragen an die IP-Adresse des lokalen Computers zugestellt und dann an den angegebenen Host weitergeleitet.

Die Verwendung von finger.exe zum Herunterladen von Dateien hat ebenfalls Einschränkungen, aber der Vorteil ist, dass es schwer zu erkennen ist, da die Base64 -Codierung ausreicht, um eine Erkennung zu vermeiden.

Demoskripte verfügbar

Der Forscher erstellte ein Demo-Skript zur Verifizierung (PoC) – DarkFinger.py für DarkFinger-Agent.bat – und veröffentlichte es, um diese doppelte Funktionalität von finger.exe zu demonstrieren.

In einem Video, das zeigt, wie die Skripte funktionieren, verglich Page seine neu entdeckte Methode mit certutil.exe, einem weiteren LoLBin unter Windows, das für böswillige Zwecke verwendet wird.

Windows Defender stoppte die certutil-Aktion und protokollierte ein Ereignis, während das DarkFinger-Skript die Aktion ohne Unterbrechung auf einem Windows 10-Computer ausführte :

Der letztjährige Cisco Talos – Bericht listete 13 LoLBins unter Windows auf, aber bis heute haben Sicherheitsforscher neue ausführbare Dateien entdeckt, die der Rechnung entsprechen.

Einer der neuesten, der auf BleepingComputer gemeldet wurde, ist kein anderer als der in Windows integrierte Windows Defender Antivirus, der beliebige Dateien mit einem DownloadFilein Version 4.18.2007.9 oder 4.18.2009.9 hinzugefügten Befehlszeilenargument herunterladen kann.

Die andere ist desktopimgdownldr.exe, eine ausführbare Datei im Windows 10-Verzeichnis system32, die Teil des Personalisierungs-CSP ist, um den Sperrbildschirm und die Desktop-Hintergründe zu ändern. Wir haben bereits ausführlich darüber gesprochen .

Das könnte dir auch gefallen Mehr vom Autor

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen