Новий баг у Windows 10 може використовуватись для завантаження чи крадіжки файлів

Повідомляється про чергову вразливість у системній програмі Windows 10, яка дозволяє без виявлення завантажувати віруси.

Список вбудованих файлів, що виконуються в Windows, які можуть завантажувати і запускати шкідливий код, продовжує зростати, повідомляє Bleeping Computer.

Ці файли відомі як living-off-the-land binaries (LoLBins) і є частиною системи. Вони можуть допомогти зловмисникам уникнути заходів безпеки для шкідливих програм, не викликаючи оповіщення системи безпеки.

Останнім поповненням у списку став файл finger.exe, системний додаток для отримання інформації про користувачів віддалених комп’ютерів, на яких запущено службу Finger deamon. Зв’язок здійснюється через мережевий протокол Name/Finger.

Дослідник безпеки Джон Пейдж виявив, що команда Microsoft Windows TCPIP Finger також може функціонувати як завантажувач файлів та імпровізований сервер керування та контролю, який може служити для надсилання команд та вилучення даних з комп’ютера.

За словами дослідника, шкідливі команди, які завантажують файли та витягують дані, можуть бути замасковані як запити Finger, так щоб Захисник Windows виявив аномальну активність.

Одна з проблем полягає в тому, що порт 79, що використовується протоколом Finger часто блокується всередині організації, йдеться в повідомленні.

Однак зловмисник з достатніми привілеями може обійти обмеження, використовуючи Windows NetSh Portproxy, який діє як перенаправник портів для протоколу TCP.

Цей метод дозволить обійти правила брандмауера та спілкуватися із серверами через необмежені порти для HTTP. Таким чином, запити Portproxy доставляються на IP-адресу локального комп’ютера, а потім перенаправляються на вказаний хост.

Використання finger.exe для завантаження файлів також має обмеження, але плюсом є те, що його складно виявити, оскільки їх кодування за допомогою Base64 достатньо, щоб уникнути виявлення.

Доступні демонстраційні скрипти

Дослідник створив демо сценарій для перевірки (PoC) – DarkFinger.py для DarkFinger-Agent.bat – та опублікував їх, щоб продемонструвати цю подвійну функціональність finger.exe.

У відео, що показує, як працюють сценарії, Пейдж порівняв свій нещодавно виявлений метод із certutil.exe, ще одним LoLBin у Windows, що використовується в зловмисних цілях.

Захисник Windows зупинив дію certutil і зареєстрував подію, тоді як сценарій DarkFinger без переривання виконав дію на комп’ютері з Windows 10 :

У звіті Cisco Talos за минулий рік перераховано 13 LoLBin у Windows, проте, станом на сьогоднішній день дослідники безпеки виявили нові файли, що виконуються, які відповідають усім вимогам.

Один з останніх, про який повідомлялося на BleepingComputer, – це не що інше, як антивірус Windows Defender, вбудований у Windows, який може завантажувати довільні файли за допомогою DownloadFileаргументу командного рядка, доданого у версії 4.18.2007.9 або 4.18.2009.9.

Інший – desktopimgdownldr.exe, виконуваний файл, що знаходиться в каталозі system32 Windows 10, який є частиною Personalization CSP для зміни екрана блокування та фонових зображень робочого столу. Про нього ми вже детально розповідали.