Nowy błąd w systemie Windows 10 może zostać wykorzystany do pobierania lub kradzieży plików

Ostatnia aktualizacja gru 3, 2022

Kolejna luka została zgłoszona w aplikacji systemu Windows 10, która umożliwia pobieranie wirusów bez wykrycia.

Według Bleeping Computer, lista wbudowanych plików wykonywalnych w systemie Windows, które mogą pobierać i uruchamiać złośliwy kod, wciąż rośnie .

Pliki te są znane jako pliki binarne Living-off-the-land (LoLBins) i są częścią systemu. Mogą pomóc atakującym ominąć środki bezpieczeństwa dla złośliwego oprogramowania bez wyzwalania alertów bezpieczeństwa.

Najnowszym dodatkiem do listy jest finger.exe, aplikacja systemowa służąca do pozyskiwania informacji o użytkownikach komputerów zdalnych, na których działa usługa Finger deamon. Komunikacja odbywa się za pośrednictwem protokołu sieciowego Name/Finger.

Badacz bezpieczeństwa John Page odkrył, że polecenie Microsoft Windows TCPIP Finger może również działać jako narzędzie do pobierania plików oraz prowizoryczny serwer dowodzenia i kontroli, którego można używać do wysyłania poleceń i pobierania danych z komputera.

Według naukowca złośliwe polecenia, które pobierają pliki i wyodrębniają dane, mogą być zamaskowane jako żądania palca, aby program Windows Defender wykrywał anomalną aktywność.

Jednym z problemów jest to, że port 79, używany przez protokół Finger, jest często blokowany w organizacji, czytamy w poście.

Jednak osoba atakująca z wystarczającymi uprawnieniami może ominąć to ograniczenie, używając narzędzia Windows NetSh Portproxy, które działa jako usługa przesyłania dalej portów dla protokołu TCP.

Ta metoda pozwoli Ci ominąć reguły firewalla i komunikować się z serwerami przez nieograniczone porty HTTP. W ten sposób żądania Portproxy są dostarczane na adres IP komputera lokalnego, a następnie przekazywane do określonego hosta.

Używanie programu finger.exe do pobierania plików również ma swoje ograniczenia, ale jego zaletą jest to, że jest trudny do wykrycia, ponieważ wystarczy kodowanie Base64, aby uniknąć wykrycia.

Dostępne skrypty demonstracyjne

Badacz stworzył skrypt demonstracyjny do weryfikacji (PoC) — DarkFinger.py dla DarkFinger-Agent.bat — i opublikował je, aby zademonstrować tę podwójną funkcjonalność pliku finger.exe.

W filmie pokazującym, jak działają skrypty, Page porównał swoją nowo odkrytą metodę do certutil.exe, innego LoLBin w systemie Windows, wykorzystywanego do złośliwych celów.

Program Windows Defender zatrzymał akcję certutil i zarejestrował zdarzenie, podczas gdy skrypt DarkFinger wykonywał akcję bez przerwy na komputerze z systemem Windows 10 :

Zeszłoroczny raport Cisco Talos wymienił 13 LoLBin w systemie Windows, jednak na dzień dzisiejszy badacze bezpieczeństwa odkryli nowe pliki wykonywalne, które pasują do rachunku.

Jednym z ostatnich zgłoszonych na BleepingComputer jest nic innego jak antywirus Windows Defender wbudowany w system Windows, który może pobierać dowolne pliki z DownloadFileargumentem wiersza poleceń dodanym w wersji 4.18.2007.9 lub 4.18.2009.9.

Drugi to desktopimgdownldr.exe, plik wykonywalny znajdujący się w katalogu system32 systemu Windows 10, który jest częścią programu CSP Personalizacja w celu zmiany ekranu blokady i tła pulpitu. Szczegółowo już o tym rozmawialiśmy .